全球統(tǒng)一標(biāo)準(zhǔn)的軟件漏洞評(píng)級(jí)系統(tǒng) CVSS 3.1正式發(fā)布!

據(jù)外媒報(bào)道，應(yīng)急響應(yīng)和安全團(tuán)隊(duì)論壇（FIRST）對(duì)其國(guó)際認(rèn)可的通用漏洞評(píng)分系統(tǒng)進(jìn)行了版本升級(jí)。

CVSS 3.1

CVSS是一個(gè)通用評(píng)分系統(tǒng)，其目的是為安全社區(qū)供一個(gè)開(kāi)放的，全球統(tǒng)一標(biāo)準(zhǔn)的軟件漏洞評(píng)級(jí)。該系統(tǒng)可供全球組織使用，而該系統(tǒng)的3.1版本已經(jīng)發(fā)布到FIRST網(wǎng)站供會(huì)員和非會(huì)員參考使用。

CVSS 3.1 在原有3.0版本的基礎(chǔ)上做了簡(jiǎn)化和改進(jìn)，使之更易于被安全社區(qū)接受。系統(tǒng)更新包括在原有衡量基準(zhǔn)的定義分類與解釋，如攻擊向量，所需特權(quán)，范圍和安全需求。

CVSS擴(kuò)展框架是一種新的擴(kuò)展CVSS的標(biāo)準(zhǔn)方法，它允許漏洞評(píng)級(jí)者在添加額外量標(biāo)和量標(biāo)群組的同時(shí)保留官方基準(zhǔn)量標(biāo)，當(dāng)前量標(biāo)和環(huán)境量標(biāo)。

額外的量標(biāo)讓行業(yè)內(nèi)各部門，如隱私，安全，汽車，醫(yī)療等，都可以針對(duì)核心CVSS標(biāo)準(zhǔn)之外的要素進(jìn)行評(píng)分。最終，CVSS術(shù)語(yǔ)匯編得到了擴(kuò)展和提煉，以覆蓋CVSS 3.1文檔使用的所有術(shù)語(yǔ)。

FIRST很感激業(yè)內(nèi)專家們作出的貢獻(xiàn)，因?yàn)樗麄兊母冻龈纳屏薈VSS，使之更適用于近15年來(lái)研發(fā)的漏洞，產(chǎn)品和平臺(tái)。

FIRST CVSS SIG 聯(lián)合主席表示，CVSS的目標(biāo)是為不同的支持者提供一種確定的且可重復(fù)的方式來(lái)評(píng)定漏洞的嚴(yán)重性。