Форум команд реагирования на инциденты и безопасности (Forum of Incident Response and Security Teams, FIRST) официально анонсировал выпуск версии 4.0 системы оценки уязвимостей (Common Vulnerability Scoring System, CVSS), спустя 8 лет после запуска предыдущей версии CVSS v3.0. FIRST представил CVSS 4.0 в июне на своей 35-й ежегодной конференции в Монреале, Канада.
CVSS – это унифицированная система для оценки степени опасности уязвимостей программного обеспечения, которая позволяет присваивать числовые оценки или качественные представления (например, низкие, средние, высокие и критические) на основе возможности эксплуатации, влияния на конфиденциальность, целостность, доступность и требуемые привилегии, где более высокие баллы означают более опасные уязвимости.
CVSS помогает правильно расставить приоритеты в отношении ответных мер на угрозы безопасности, поскольку система предоставляет последовательный способ оценки воздействия уязвимостей и сравнения рисков между различными системами и программным обеспечением.
Вот список ключевых изменений, внесенных в стандарт CVSS v4.0:
- Улучшенная детализация базовых метрик, позволяющая пользователям получать более точную оценку уязвимостей.
- Устранение неоднозначности в оценках, которые делаются на основе последующего использования оценок уязвимостей.
- Упрощение метрик угроз, чтобы облегчить понимание и использование стандарта.
- Повышение эффективности оценки с учетом специфических требований безопасности окружающей среды и компенсирующих контролей.
- Введение дополнительных метрик для оценки уязвимостей:
- Автоматизация (подверженность червям);
- Восстановление (устойчивость системы после эксплуатации уязвимости);
- Ценность (значимость ресурса, на который влияет уязвимость);
- Усилия по реагированию на уязвимость (необходимые ресурсы для решения проблемы);
- Оперативность поставщика (скорость, с которой поставщик ПО отреагирует на уязвимость).