事件回應與安全團隊論壇(FIRST)日前正式發佈了通用漏洞評分系統標準CVSS v4.0,這個全新版本距離上一版 CVSS v3.0 已經過去了八年。
CVSS 是評估軟體安全漏洞嚴重性的標準化框架,根據可攻擊性、保密性、完整性、可用性和所需許可權的影響等因素進行評分,以「低(low)、中(medium)、高(high)和嚴重(Critical)」等級標示,最終分數越高則表示漏洞越嚴重。
這種評估方法可透過漏洞的影響來比較不同系統和軟體的風險,有助於組織單位設定優先順序來應對安全威脅。
FIRST表示,這一版CVSS提供了更加精細的基礎指標,並提高了評估特定環境安全要求和控制措施的有效性。此外,CVSS4.0還增加了幾個補充指標,包括Automatable (wormable蠕蟲化) , Recovery (resilience韌性), Value Density影響性, Vulnerability Response Effort漏洞回應力度和及Provider Urgency緊迫性等。
CVSS4.0版提供更加精細的基礎指標。
今年 6 月,FIRST 在第 35 屆年會上正式發佈了 CVSS 4.0 版本。此版本距離 2005 年 2 月發佈的 CVSS 第一版本已經過去了 18 年。FIRST CEO Chris Gibson 表示,目前全球漏洞威脅數量顯著增加, CVSS4.0 版本的發佈恰逢其時。在過去的 18 年中,CVSS 系統發展的很快,幾乎每一個版本都賦予了人們更強的抵禦網路犯罪的能力。
2022年,FIRST 還發佈了 TLP 2.0,這是電腦安全事件回應小組(CSIRT)社群在共用敏感資訊時使用的最新版燈號協定(TLP)標準。
本文轉載自BleepingComputer。