概述

內部和外部發現的軟體安全問題的標準等級量表。
初步的目的是設定時間表，並深入了解我們對問題的評分方式。
指定的標尺是最小標尺，這意味著根據情況可能會導致某些問題進一步擴大。

嚴重程度
嚴重
漏洞範例
- 可存取Internet的遠端執行安全漏洞(RCE)
- 可存取Internet的SQL注入
- 從我們的Web服務中竊取客戶端的資料
- 在編輯器頁面中沒有用戶互動的情況下
編輯器中的RCE XSS在具有開放通訊埠的服務中使用連接
理由
這種嚴重性的問題已被發現被積極利用或公開發現
應該謹慎使用這種嚴重性，以及需要人們立即補充並修復的問題
高
漏洞範例
- 持久的和反映的XSS
- 前端的機密或預期
- 幾乎沒有用戶交互的程式碼執行初始化瀏覽器中的超連結可以運行腳本
- 遠程DoS（持續性）
- 遠程DoS（一次有效性）
理由
這些安全問題可能引起我們的客戶和/或我們的業務造成重大影響
該錯誤應具有有限的補救安全控制措施，並應具有可以證明的漏洞
中
漏洞範例
- 服務器端請求偽造
- 服務器端請求偽造（SSRF），允許訊息洩露和發現我們的內部網絡。
- 跨站請求偽造(CSRF),基於POST的功能，會更改用戶的資訊
- 通過我們的軟體竊取客戶IP
理由
這些問題可能會對我們的客戶和/或業務產生重大影響。
但是，它們通常需要某種程度的用戶交互和/或難以利用。
在某種程度上，應該針對這些類型的問題提供一些緩解性的安全控制。
雖然應該修復它們，但它應該是應用程序團隊正常發布週期的一部分。
低
漏洞範例
- 無法利用的記憶體損壞
- 多有效負載DoS
- HTTP標頭洩漏
- 錯誤頁面洩漏文件系統訊息
- 缺少安全標頭
- “複製粘貼”攻擊
- 點擊劫持
- 打開重定向，不會暴露任何敏感訊息
理由
這些問題通常是深度防禦問題。
它們不會導致主動利用漏洞，而是會向攻擊者提供訊息或其他立足點。
這些最低風險的問題可以共同用於引起大問題。
但是，這些問題應添加到開發團隊的冰盒(Ice Box)或技術債項中。
然後，當開發團隊有時間或在類似領域工作時，他們應該解決這些問題。

#####　威脅與漏洞評等(Bug Bar)

漏洞評等允許我們對安全漏洞進行分類，確保最嚴重的漏洞在不嚴重的漏洞之前得到修復。
如果我們花費所有時間專注於修復本地DoS（實際上是可靠性漏洞），我們將無法解決公開報告的RCE。
當然，這並不意味著我們永遠不會修復本地DoS，但是在發生事件期間，我們需要適當地集中資源。