iT邦幫忙

1

CVSS v3.1如何計算其分數(強制性指標)

以下摘要和解釋來自FIRST
通用漏洞評分系統(CVSS)是一個開放框架,用於傳達軟件漏洞的特徵和嚴重性。它由事件響應和安全團隊論壇(FIRST)擁有並管理,該組織是美國的一家非營利組織,其任務是幫助全球計算機安全事件響應團隊。

指標組
CVSS由三個度量標準組組成:基本,時間和環境。
. 基本組:漏洞的內在性質,隨時間推移以及在用戶環境中保持不變。基本指標產生的分數介於0到10之間,然後可以通過對時間和環境指標進行評分來進行修改。
. 時間組:隨時間變化的漏洞的特徵。
. 環境組:用戶環境特有的漏洞特徵。

向量字串
CVSS分數也表示為向量字符串,如以下示例所示:
. CVSS:3.1 / AV:N / AC:L / PR:H / UI:N / S:U / C:L / I:L / A:N

CVSS指標組
https://ithelp.ithome.com.tw/upload/images/20201127/20132160KZwQt3G0hr.png
-CVSS度量標準組,圖像提供:事件響應和安全團隊論壇,公司。

CVSS指標和公式
https://ithelp.ithome.com.tw/upload/images/20201127/20132160DS3VK3PBa3.png
CVSS度量和方程式,圖像提供:事件響應和安全團隊論壇,公司。

參考
. 零日(計算)
. 零日漏洞:它是什麼,以及它如何工作
. 常見弱點枚舉
. CVE列表首頁
. CVE和CWE有什麼區別?
. 通用漏洞評分系統SIG
. 通用漏洞評分系統版本3.1:規範文檔

資料來源: Wentz Wu QOTD-20201125


尚未有邦友留言

立即登入留言