CVSS 40 会彻底改变或打破漏洞评分系统吗？

任何处理过技术系统漏洞的网络安全专业人士都会遇到过通用漏洞评分系统（CVSS）。无论您是否了解 CVSS，整个行业都会使用“关键”或“高风险”等表达方式。

ⓒ 盖蒂图片银行

CVSS 提供了一种标准化的方法来描述漏洞，并最终提供反映漏洞严重性的数字分数，以及为管理系统和环境中的漏洞的组织提供相对度量的定性指标。它用于编写初高中成绩。自2005年推出以来，得到了广泛采用，并成为NIST国家漏洞数据库（NVD）使用的核心漏洞评级系统。主要漏洞管理工具和解决方案公司也使用它。

CVSS 在批评中不断发展

尽管被广泛采用，CVSS 仍 墨西哥电话号码数据 面临一些强烈的批评。计算分数的方法很复杂、过于主观，并且在确定漏洞优先级时经常被误用。然而，尽管  有这样的批评，由全球网络安全论坛FIRST 运营的 CVSS SIG仍在继续创新 CVSS 框架，目前即将发布 CVSS 4.0。

CVSS 4.0将于2023年10月1日正式发布，目前已进入公开预览和意见征集阶段。看看这次更新的重要部分，比如它旨在解决哪些问题以及仍然存在的差距和挑战（这也是一些从业者仍然持怀疑态度的原因），我们可以看出这个版本是否会是漏洞评分的一场革命系统是否需要重新检查，您将能够确定它是否是一个损坏的系统。

主要变化：新的和修订的术语

2023 年初，CVSS SIG 共同领导者 Dave Dougal 和 Dale Rich 介绍了 CVSS 的历史、CVSS 3.0 面临的挑战以及 CVSS 4.0 的目标 欧洲邮件 等重要信息。Dougall 和 Ritchie 强调，CVSS 涵盖的范围比基本评分存储库要广泛得多，并且用于增强 CVSS 评分系统的指标越多，其质量就越高。CVSS 4.0引入了以下新命名法，以改善漏洞计算中仅广泛使用CVSS基本分而未正确利用附加指标的问题。

 

其他主要变化包括添加新指标“攻击要求”(AT)、更新“用户交互”(UI) 指标以及取消默认指标“范围”(S)。最值得注意的是，长期使用的“临时”指标名称已更改为“威胁”，并且废弃了修复级别（RL）和报告置信度（RC）指标，此外，漏洞利用代码成熟度也发生了变化漏洞利用成熟度反映了这样一个事实：并非所有漏洞利用都以代码为中心。