Cvss v2 complete documentation
通用漏洞计分系统(CVSS)为沟通IT漏洞的特征和影响提供了一个开放的框架。
CVSS由3组组成:基础,时间和环境。
每个组产生的范围从0到10的数字分数,以及Vector,一个反映用于得出分数的值的压缩文本表示。
基础组代表了一个漏洞的内在特征。
时间组反映了随时间变化的漏洞的特征。
环境组代表了任何用户环境特有的漏洞特征。
CVSS使IT经理,漏洞公告提供商,安全供应商,应用程序供应商和研究人员都能通过采用这种通用语言评估IT漏洞来获益。
- Introduction
目前,IT管理层必须在许多不同的硬件和软件平台中识别和评估漏洞。 他们需要优先考虑这些漏洞,并修复那些构成最大风险的漏洞。 但是,如果有这么多的问题需要解决,每个人都会使用不同的规模进行评分[2] [3] [4],IT经理如何将这个山区的漏洞数据转化成可操作的信息? 常见漏洞评分系统(CVSS)是一个解决这个问题的开放式框架。 它提供以下好处:
标准化漏洞评分:当组织在所有软件和硬件平台上规范化漏洞分数时,可以利用单一的漏洞管理策略。 该策略可能类似于服务级别协议(SLA),其中说明必须验证和修复特定漏洞的速度。
开放式框架:当漏洞被分配任意分数时,用户可能会感到困惑。 “哪个属性给了这个分数?与昨天发布的那个有什么不同? 有了CVSS,任何人都可以看到用于得出分数的个人特征。
优先风险:计算环境分数时,漏洞现在变为语境。 也就是说,漏洞分数现在代表组织的实际风险。 用户知道给定的漏洞与其他漏洞相关的重要性。
1.1. What is CVSS?
CVSS由三个度量组成:基本,时间和环境,每个组由一组度量组成,如图1所示
Figure 1: CVSS Metric Groups
Base:表示随着时间和用户环境而不断变化的漏洞的内在和基本特征。 基本度量在2.1节中讨论。
时间:表示随时间而不是在用户环境中变化的漏洞的特征。 时间度量在2.2节中讨论。
环境:表示特定用户环境相关和独特的漏洞的特征。 第2.3节讨论了环境指标。
CVSS基础组的目的是定义和传达漏洞的基本特征。 表征漏洞的这种客观方法为用户提供了一个清晰直观的漏洞表示。 然后,用户可以调用时间和环境组,以提供更准确地反映其独特环境的风险的上下文信息。 这样做可以让他们做出更明智的决策,试图减轻漏洞所带来的风险。
1.2. Other vulnerability scoring systems
还有一些由商业和非商业组织管理的其他漏洞“评分”系统。 他们每个人都有自己的优点,但是他们所测量的不一样。 例如,CERT / CC产生的数值分数范围从0到180,但考虑到互联网基础架构是否处于风险中,以及需要什么样的先决条件来利用漏洞[3]。 SANS漏洞分析规模考虑了在默认配置或客户端或服务器系统中是否存在弱点[4]。 Microsoft的专有评分系统试图反映利用的难度和脆弱性的整体影响[2]。 虽然这些评分系统很有用,但是通过假设每个个体和组织对一个漏洞的影响是不变的,这些评分系统提供了一刀切的方法。
CVSS can also be described by what it is not. That is, it is none of the following:
一个威胁评级系统,例如美国国土安全部和西南互联网风暴中心所使用的威胁评估系统。[1] 这些服务为危及美国和全球IT网络的威胁提供了一个咨询预警系统。
一个漏洞数据库,如国家漏洞数据库(NVD),开源漏洞数据库(OSVDB)或Bugtraq。 这些数据库提供了丰富的已知漏洞和漏洞详细信息目录。
一个漏洞识别系统,如行业标准的常见漏洞和暴露(CVE)或弱点词典,如普通弱点枚举(CWE)。 这些框架旨在根据原因“独特地识别和分类漏洞”,因为它们体现在代码,设计或架构中。 [2]
1.3. How does CVSS work?
当基本度量被分配值时,基本方程式计算范围从0到10的分数,并创建一个向量,如下图2所示。该向量有助于框架的“开放”性质。 它是一个文本字符串,其中包含分配给每个度量的值,它用于准确地传达每个漏洞得分的方式。 因此,矢量应始终显示与漏洞得分。 第2.4节进一步说明了载体。
Figure 2: CVSS Metrics and Equations
如果需要,可以通过将值分配给时间和环境指标来改进基本分数。 这是有用的,以便通过更准确地反映脆弱性对用户环境所造成的风险,为漏洞提供额外的上下文。 但是,这不是必需的。 根据目的,基分和矢量可能就足够了。
如果需要时间分数,则时间方程式将时间度量与基本分数组合以产生从0到10的时间分数。类似地,如果需要环境分数,则环境方程将将环境度量与时间 得到的环境分数范围从0到10.基础,时间和环境方程在3.2节中有详细描述。
https://www.first.org/cvss/v2/guide
转载于:https://www.cnblogs.com/huenchao/articles/6761045.html
Cvss v2 complete documentation相关推荐
- 【网络安全常用术语解读】CVSS详解
什么是CVSS?CVSS是由哪个组织定义和维护的?CVSS主要用途是什么?CVSS 3.X与2.X版本主要有哪些区别?如何给一个CVE漏洞进行评分?读完本文你将收获所有答案.如还有其他相关疑问,欢迎留 ...
- sublimelinter校验php,代码校验工具 SublimeLinter 的安装与使用
本文我将讲述一下 SublimeLinter 的安装过程. 其组件 jshint 的安装与使用. 其组件 csslint 的安装与使用. 使用 Sublime Text 2 的用户阅读本文是没有帮助的 ...
- python magic文档
输入 %magic Jupyter Notebook%magicIPython's 'magic' functions ===========================The magic fun ...
- Ubuntu 中的编程语言(中)
在上一篇随笔中介绍了十种编程语言.这次介绍四种编程语言:Perl.PHP.Pascal 和 Delphi. Perl Perl 语言在2010年6月编程语言排行榜中排名第八位.下面就是 Gregori ...
- 代码校验工具 SublimeLinter 的安装与使用
SublimeLinter 是 Sublime 的插件,它的作用是检查代码语法是否有错误,并提示.习惯了 IDE 下写代码的人一定需要一款在 Sublime 上类似的语法检查工具.下面我们开始. 安装 ...
- linux在线文档库
http://blog.csdn.net/longxibendi/article/details/6048231 1.网址: http://www.mjmwired.net 2.比如查看这个 proc ...
- Hue 之 SparkSql interpreters的配置及使用
1.环境说明: HDP 2.4 V3 sandbox hue 4.0.0 2.hue 4.0.0 编译及安装 地址:https://github.com/cloudera/hue/releases/t ...
- CVSS2.0 安全漏洞基础评分指标说明及计算公式
文章目录 基础评分 Access Vector (AV) 攻击途径 Access Complexity (AC) 攻击复杂度 Authentication (Au) 认证 Confidentialit ...
- 构建微服务的十大 Golang 框架和库
点击上方"朱小厮的博客",选择"设为星标" 后台回复"书",获取 后台回复"k8s",可领取k8s资料 现在已经有很多开 ...
最新文章
- jquery 设置css样式
- 万字长文爆肝 DNS 协议!
- DPM2007轻松恢复Exchange邮件,DPM2007系列之三
- 为什么运营商玩不转物联网?
- python自动修图_程序员不会用PS给女朋友修图?没关系,用Python十行代码轻松搞定-站长资讯中心...
- 分布式,微信小程序 服务器保持登入态解决方案,
- 数据产品通用复合指标查询计算的实践
- jni c向java传递数组_通过jni将jint数组从c返回到java
- 进程内存信息 /proc/[pid]/maps /proc/[pid]/smaps /proc/[pid]/status
- OPW-00001: Unable to open password-file
- 网络服务器有保存文件,将收到的图片保存到网络服务器上的文件夹
- docker 容器启动顺序_Docker容器启动时初始化Mysql数据库
- 漫画:图的 “最短路径” 问题 | 技术头条
- r0~r15寄存器作用
- 足球世界杯亚军去的南宁观音寺,咱也去了几次
- JavaScript内置的Math对象(附实例)
- idea 根据数据库表自动创建持久化类
- 华为安装gsm框架_华为手机怎么安装 GMS 框架和谷歌应用?
- 企业上云是什么意思?企业上云的好处是什么?
- 清华学霸教你1小时入门 Python 爬虫,别说学长没帮你