IT之家 11 月 2 日消息,事件响应和安全团队论坛(FIRST)今天正式发布了 CVSS 4.0 通用漏洞评分系统,相比较 3.0(上个主要版本)相隔 8 年时间。
IT之家注:CVSS(Common Vulnerability Scoring System)是一种用于衡量软件漏洞严重性的标准化方法,它通过多个维度(如攻击复杂度、影响范围等)对漏洞进行评分,从而为企业和组织提供了一个量化的风险评估工具。
FIRST 表示:
修订后的标准为消费者提供了更精细的基本指标,消除了下游评分的模糊性,简化了威胁指标,并提高了评估特定环境安全要求以及补偿控制的有效性。
此外,还增加了几个漏洞评估的补充指标,包括可自动化(可蠕虫)、恢复(弹性)、价值密度、漏洞响应工作和提供商紧迫性。
CVSS v4.0 的一个关键增强功能是对 OT / ICS / IoT 的额外适用性,将安全指标和值添加到补充和环境指标组中。
新版本还添加了新的命名方法,包括 Base (CVSS-B)、Base + Threat(CVSS-BT)、Base + Environmental(CVSS-BE)和 Base + Threat + Environmental (CVSS-BTE)。
FIRST 首席执行官 Chris Gibson 表示:
CVSS 系统在过去 18 年中发展迅速,每个版本都建立在我们抵御网络犯罪的能力之上。我为 CVSS-SIG 为制作 4.0 版本所付出的辛勤工作和奉献精神感到无比自豪。
作为一个会员制组织,我们的目标是赋予我们的成员和行业权力,展示领导力,并确保我们致力于不断改进我们的合作方式,以保护全球人民免受网络攻击。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。