通用漏洞計分系統（CVSS）為溝通IT漏洞的特征和影響提供了一個開放的框架。

CVSS由3組組成：基礎，時間和環境。

每個組產生的范圍從0到10的數字分數，以及Vector，一個反映用于得出分數的值的壓縮文本表示。

基礎組代表了一個漏洞的內在特征。
時間組反映了隨時間變化的漏洞的特征。
環境組代表了任何用戶環境特有的漏洞特征。
CVSS使IT經理，漏洞公告提供商，安全供應商，應用程序供應商和研究人員都能通過采用這種通用語言評估IT漏洞來獲益。

Introduction
目前，IT管理層必須在許多不同的硬件和軟件平臺中識別和評估漏洞。 他們需要優先考慮這些漏洞，并修復那些構成最大風險的漏洞。 但是，如果有這么多的問題需要解決，每個人都會使用不同的規模進行評分[2] [3] [4]，IT經理如何將這個山區的漏洞數據轉化成可操作的信息？ 常見漏洞評分系統（CVSS）是一個解決這個問題的開放式框架。 它提供以下好處：

標準化漏洞評分：當組織在所有軟件和硬件平臺上規范化漏洞分數時，可以利用單一的漏洞管理策略。 該策略可能類似于服務級別協議（SLA），其中說明必須驗證和修復特定漏洞的速度。

開放式框架：當漏洞被分配任意分數時，用戶可能會感到困惑。 “哪個屬性給了這個分數？與昨天發布的那個有什么不同？ 有了CVSS，任何人都可以看到用于得出分數的個人特征。

優先風險：計算環境分數時，漏洞現在變為語境。 也就是說，漏洞分數現在代表組織的實際風險。 用戶知道給定的漏洞與其他漏洞相關的重要性。

1.1. What is CVSS?

CVSS由三個度量組成：基本，時間和環境，每個組由一組度量組成，如圖1所示

Figure 1: CVSS Metric Groups
Base：表示隨著時間和用戶環境而不斷變化的漏洞的內在和基本特征。 基本度量在2.1節中討論。

時間：表示隨時間而不是在用戶環境中變化的漏洞的特征。 時間度量在2.2節中討論。

環境：表示特定用戶環境相關和獨特的漏洞的特征。 第2.3節討論了環境指標。

CVSS基礎組的目的是定義和傳達漏洞的基本特征。 表征漏洞的這種客觀方法為用戶提供了一個清晰直觀的漏洞表示。 然后，用戶可以調用時間和環境組，以提供更準確地反映其獨特環境的風險的上下文信息。 這樣做可以讓他們做出更明智的決策，試圖減輕漏洞所帶來的風險。

1.2. Other vulnerability scoring systems

還有一些由商業和非商業組織管理的其他漏洞“評分”系統。 他們每個人都有自己的優點，但是他們所測量的不一樣。 例如，CERT / CC產生的數值分數范圍從0到180，但考慮到互聯網基礎架構是否處于風險中，以及需要什么樣的先決條件來利用漏洞[3]。 SANS漏洞分析規模考慮了在默認配置或客戶端或服務器系統中是否存在弱點[4]。 Microsoft的專有評分系統試圖反映利用的難度和脆弱性的整體影響[2]。 雖然這些評分系統很有用，但是通過假設每個個體和組織對一個漏洞的影響是不變的，這些評分系統提供了一刀切的方法。

CVSS can also be described by what it is not. That is, it is none of the following:

一個威脅評級系統，例如美國國土安全部和西南互聯網風暴中心所使用的威脅評估系統。[1] 這些服務為危及美國和全球IT網絡的威脅提供了一個咨詢預警系統。

一個漏洞數據庫，如國家漏洞數據庫（NVD），開源漏洞數據庫（OSVDB）或Bugtraq。 這些數據庫提供了豐富的已知漏洞和漏洞詳細信息目錄。

一個漏洞識別系統，如行業標準的常見漏洞和暴露（CVE）或弱點詞典，如普通弱點枚舉（CWE）。 這些框架旨在根據原因“獨特地識別和分類漏洞”，因為它們體現在代碼，設計或架構中。 [2]

1.3. How does CVSS work?
當基本度量被分配值時，基本方程式計算范圍從0到10的分數，并創建一個向量，如下圖2所示。該向量有助于框架的“開放”性質。 它是一個文本字符串，其中包含分配給每個度量的值，它用于準確地傳達每個漏洞得分的方式。 因此，矢量應始終顯示與漏洞得分。 第2.4節進一步說明了載體。

Figure 2: CVSS Metrics and Equations

如果需要，可以通過將值分配給時間和環境指標來改進基本分數。 這是有用的，以便通過更準確地反映脆弱性對用戶環境所造成的風險，為漏洞提供額外的上下文。 但是，這不是必需的。 根據目的，基分和矢量可能就足夠了。

如果需要時間分數，則時間方程式將時間度量與基本分數組合以產生從0到10的時間分數。類似地，如果需要環境分數，則環境方程將將環境度量與時間 得到的環境分數范圍從0到10.基礎，時間和環境方程在3.2節中有詳細描述。

https://www.first.org/cvss/v2/guide

轉載于:https://www.cnblogs.com/huenchao/articles/6761045.html

總結

以上是生活随笔為你收集整理的Cvss v2 complete documentation的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。