CVSS چیست؟

cvss

سیستم امتیازدهی آسیب‌پذیری عام “CVSS” یک چارچوب باز برای ارتباط ویژگی‌ها و میزان آسیب‌پذیری‌های نرم‌افزاری است. CVSS شامل سه گروه معیاری می‌باشد: پایه، موقتی و محیطی. گروه پایه نشان‌دهنده‌ی ویژگی‌های ذاتی آسیب‌پذیری، گروه موقتی نشان دهنده‌ی ویژگی‌های یک آسیب‌پذیری که در طول زمان تغییر می‌کند، و گروه محیطی نشان‌دهنده‌ي ویژگی‌های آسیب‌پذیری است که منحصر به محیط کاربر می‌باشد. معیارهای پایه امتیازی بین ۰ تا ۱۰ را تولید می‌کنند، که می‌تواند با امتیازدهی معیارهای موقتی و محیطی اصلاح شود. یک امتیاز CVSS همچنین به عنوان یک رشته بردار نمایش داده مي‌شود که یک نحوه نمایش متنی فشرده از مقادیر استفاده شده برای به‌دست آوردن امتیاز است.

مزیت‌های استفاده

  • امتیازهای آسیب پذیری استانداردی را فراهم می کند. زمانی که یک سازمان از یک الگوریتم متداول برای امتیازدهی آسیب پذیری ها بر همه سکوهای کاری IT استفاده می نماید، می تواند از یک سیاست مدیریت آسیب پذیری بهره ببرد که زمان مجاز حداکثر برای اعتبارسنجی و از بین بردن یک آسیب پذیری را تعریف می کند.
  • یک چارچوب کاری باز فراهم می سازد. ممکن است زمانی که به یک آسیب پذیری، یک امتیاز اختیاری توسط شخص ثالث انتصاب داده می شود، کاربران گیج شوند. با استفاده از CVSS، مشخصه های مورد استفاده برای بدست آوردن یک امتیاز شفاف هستند.
  • CVSS به اولویت بندی ریسک کمک می کند. زمانی که امتیاز محیطی محاسبه شد، آسیب پذیری وابسته به بافت هر سازمان می شود و به فراهم سازی درک بهتری از ریسکی که یک آسیب پذیری برای سازمان دارد، کمک می کند.

اسناد راهنمای استفاده و مشخصات دقیق‌تر استاندارد، در ادامه قابل دانلود است.