事件响应和安全团队论坛 (FIRST) 正式发布了 CVSS v4.0，这是其下一代通用漏洞评分系统标准，距上一个主要版本 CVSS v3.0 已经过去了八年。

CVSS 是一个用于评估软件安全漏洞严重性的标准化框架，用于根据可利用性、对机密性、完整性、可用性和所需权限的影响来分配数字分数或定性表示（例如低、中、高和关键），并具有更高的权限。分数表示更严重的漏洞。

通用漏洞评分系统4.0版

CVSS 4.0 版是下一代通用漏洞评分系统标准。CVSS v4.0 中纳入的一些更改包括：

强化 CVSS 不仅仅是基本分数的概念

添加了新的术语来识别基础 (CVSS-B)、基础 + 威胁 (CVSS-BT)、基础 + 环境 (CVSS-BE) 和基础 + 威胁 + 环境 (CVSS-BTE) 的组合

通过添加新的基本指标和值来实现更细的粒度：

新的基本指标：攻击要求 (AT)

新的基本指标值：用户交互 (UI)：被动 (P) 和主动 (A)

增强影响指标的披露：

范围已退役

明确评估对脆弱系统（VC、VI、VA）和后续系统（SC、SI、SA）的影响

时间指标组重命名为威胁指标组

威胁指标得到简化和明确

修复级别 (RL) 和报告置信度 (RC) 已停用

利用“代码”成熟度重命名为利用成熟度 (E)，具有更清晰的值

新的补充指标组可传达漏洞的其他外在属性，这些属性不会影响最终的 CVSS-BTE 分数

安全（S）

自动化 (A)

恢复（R）

价值密度（V）

漏洞响应工作 (RE)

提供商紧急度 (U)

更多关注 OT/ICS/安全

消费者评估的安全性（MSI:S、MSA:S）

提供商通过安全 (S) 补充指标评估安全

有关 CVSS v4.0 新增功能的更多信息，请点击链接 https://www.first.org/cvss/v4-0/cvss-v40-presentation.pdf获取PDF。FIRST 表示：“修订后的标准为消费者提供了更细粒度的基本指标，消除了下游评分的模糊性，简化了威胁指标，并提高了评估特定环境安全要求以及补偿控制的有效性。”“CVSS 系统在过去 18 年中得到了快速发展，每个版本都建立在我们防御网络犯罪的能力之上。我为 CVSS-SIG 为开发 4.0 版本所付出的辛勤工作和奉献精神感到非常自豪。这是及时的，因为我们继续看到世界各地的威胁显着增加。” FIRST 首席执行官 Chris Gibson说道。“作为一个会员组织，我们的目标是赋予我们的会员和行业权力，展示领导力并确保我们致力于不断改进我们的合作方式，以保护全球人民免受网络攻击。”去年，FIRST 还发布了 TLP 2.0，这是计算机安全事件响应团队 (CSIRT) 社区在共享敏感信息时使用的最新版本的交通灯协议 (TLP) 标准。

文章原文链接:https://www.anquanke.com/post/id/291170