سیستم امتیازدهی آسیبپذیری عام “CVSS” یک چارچوب باز برای ارتباط ویژگیها و میزان آسیبپذیریهای نرمافزاری است. CVSS شامل سه گروه معیاری میباشد: پایه، موقتی و محیطی. گروه پایه نشاندهندهی ویژگیهای ذاتی آسیبپذیری، گروه موقتی نشان دهندهی ویژگیهای یک آسیبپذیری که در طول زمان تغییر میکند، و گروه محیطی نشاندهندهي ویژگیهای آسیبپذیری است که منحصر به محیط کاربر میباشد. معیارهای پایه امتیازی بین ۰ تا ۱۰ را تولید میکنند، که میتواند با امتیازدهی معیارهای موقتی و محیطی اصلاح شود. یک امتیاز CVSS همچنین به عنوان یک رشته بردار نمایش داده ميشود که یک نحوه نمایش متنی فشرده از مقادیر استفاده شده برای بهدست آوردن امتیاز است.
مزیتهای استفاده
- امتیازهای آسیب پذیری استانداردی را فراهم می کند. زمانی که یک سازمان از یک الگوریتم متداول برای امتیازدهی آسیب پذیری ها بر همه سکوهای کاری IT استفاده می نماید، می تواند از یک سیاست مدیریت آسیب پذیری بهره ببرد که زمان مجاز حداکثر برای اعتبارسنجی و از بین بردن یک آسیب پذیری را تعریف می کند.
- یک چارچوب کاری باز فراهم می سازد. ممکن است زمانی که به یک آسیب پذیری، یک امتیاز اختیاری توسط شخص ثالث انتصاب داده می شود، کاربران گیج شوند. با استفاده از CVSS، مشخصه های مورد استفاده برای بدست آوردن یک امتیاز شفاف هستند.
- CVSS به اولویت بندی ریسک کمک می کند. زمانی که امتیاز محیطی محاسبه شد، آسیب پذیری وابسته به بافت هر سازمان می شود و به فراهم سازی درک بهتری از ریسکی که یک آسیب پذیری برای سازمان دارد، کمک می کند.
اسناد راهنمای استفاده و مشخصات دقیقتر استاندارد، در ادامه قابل دانلود است.