事件響應和安全團隊論壇 (FIRST) 正式發布了 CVSS v4.0,這是其下一代通用漏洞評分系統標準,距上一個主要版本 CVSS v3.0 已經過去了八年。

CVSS 是一個用于評估軟件安全漏洞嚴重性的標準化框架,用于根據可利用性、對機密性、完整性、可用性和所需權限的影響來分配數字分數或定性表示(例如低、中、高和關鍵),并具有更高的權限。分數表示更嚴重的漏洞。

通用漏洞評分系統4.0版

CVSS 4.0 版是下一代通用漏洞評分系統標準。CVSS v4.0 中納入的一些更改包括:

  • 強化 CVSS 不僅僅是基本分數的概念
  • 添加了新的術語來識別基礎 (CVSS-B)、基礎 + 威脅 (CVSS-BT)、基礎 + 環境 (CVSS-BE) 和基礎 + 威脅 + 環境 (CVSS-BTE) 的組合
  • 通過添加新的基本指標和值來實現更細的粒度:
  • 新的基本指標:攻擊要求 (AT)
  • 新的基本指標值:用戶交互 (UI):被動 (P) 和主動 (A)
  • 增強影響指標的披露:
  • 范圍已退役
  • 明確評估對脆弱系統(VC、VI、VA)和后續系統(SC、SI、SA)的影響
  • 時間指標組重命名為威脅指標組
  • 威脅指標得到簡化和明確
  • 修復級別 (RL) 和報告置信度 (RC) 已停用
  • 利用“代碼”成熟度重命名為利用成熟度 (E),具有更清晰的值
  • 新的補充指標組可傳達漏洞的其他外在屬性,這些屬性不會影響最終的 CVSS-BTE 分數
  • 安全(S)
  • 自動化 (A)
  • 恢復(R)
  • 價值密度(V)
  • 漏洞響應工作 (RE)
  • 提供商緊急度 (U)
  • 更多關注 OT/ICS/安全
  • 消費者評估的安全性(MSI:S、MSA:S)
  • 提供商通過安全 (S) 補充指標評估安全

有關 CVSS v4.0 新增功能的更多信息,請點擊閱讀原文獲取PDF。

FIRST 表示:“修訂后的標準為消費者提供了更細粒度的基本指標,消除了下游評分的模糊性,簡化了威脅指標,并提高了評估特定環境安全要求以及補償控制的有效性。”

“CVSS 系統在過去 18 年中得到了快速發展,每個版本都建立在我們防御網絡犯罪的能力之上。我為 CVSS-SIG 為開發 4.0 版本所付出的辛勤工作和奉獻精神感到非常自豪。這是及時的,因為我們繼續看到世界各地的威脅顯著增加。” FIRST 首席執行官 Chris Gibson說道。

“作為一個會員組織,我們的目標是賦予我們的會員和行業權力,展示領導力并確保我們致力于不斷改進我們的合作方式,以保護全球人民免受網絡攻擊。”

去年,FIRST 還發布了 TLP 2.0,這是計算機安全事件響應團隊 (CSIRT) 社區在共享敏感信息時使用的最新版本的交通燈協議 (TLP) 標準。

網絡安全 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接