通用漏洞評分系統（CVSS）

通用漏洞評分系統（CVSS）是一個開放式框架，用於傳達軟件漏洞的特征和嚴重性。CVSS 由三個衡量指標組組成：基礎評價、生命周期評價和環境評價。基礎評價組表示漏洞的內在屬性，這些特性在一段時間內在用戶環境中保持不變，“生命周期評價”組表示隨時間變化的漏洞的特征，“環境評價”組表示用戶環境所獨有的漏洞特征。基礎評價生成從 0 到 10 的分值，然後可以通過對“生命周期”和“環境”指標進行評分來修改該分值。CVSS 分值也表示為向量字符串，這是用於派生分值的壓縮文本重復。

通用漏洞評分系統（CVSS）可捕獲軟件、硬件和固件漏洞的主要技術特征。其輸出包括指示漏洞相對於其他漏洞的嚴重性的數字分值。

CVSS 由三個衡量指標組組成：基礎評價、生命周期評價和環境評價。

基礎評價根據漏洞的固有特征反映漏洞的嚴重性，這些特征隨時間變化是恒定的，並假定在不同部署的環境中會產生合理的最壞情況影響。生命周期評價根據隨時間變化的因素（如漏洞利用代碼的可用性）調整漏洞的基本嚴重性。環境評價根據特定計算環境調整基礎評價和生命周期評價嚴重性，同時考慮諸如在該環境中的緩解措施等因素。

基礎評價通常由維護脆弱產品的組織或代表其評分的第三方生成。通常隻發佈基礎評價，因為這些指標不會隨時間而變化，並且對所有環境都是通用的。CVSS 的使用者應使用特定於其使用脆弱產品的時間和環境分值來補充基礎評價，以便為其組織環境生成更準確的嚴重性。消費者可以使用 CVSS 信息作為組織漏洞管理流程的輸入，該流程還考慮瞭不屬於 CVSS 的因素，以便對其技術基礎架構的威脅進行排名並做出明智的補救決策。這些因素可能包括：產品線的客戶數量，由於違規行為造成的金錢損失，生命或財產受到威脅，或公眾對高度公開的漏洞的看法。這些都超出瞭 CVSS 的范圍。

CVSS 的好處包括提供標準化的供應商和平臺不可知的漏洞評分方法。它是一個開放的框架，為用於獲得分值的個人特征和方法提供瞭透明度。

CVSS指標

CVSS 由三個衡量指標組組成：基礎評價、生命周期評價和環境評價，每個指標組由一組衡量指標組成，如圖 1 所示。

圖 1：CVSS 指標組

基礎評價指標組表示漏洞的固有特征，這些特征在一段時間內和用戶環境中保持不變。它由兩組指標組成：可利用度評價和影響指標。

可利用度評價反映瞭利用漏洞的難易程度和技術手段。也就是說，它們代表瞭脆弱的對象的特征，我們將其正式稱為脆弱組件。影響指標反映瞭成功利用的直接後果，並代表瞭遭受影響的事物的後果，我們正式將其稱為受影響組件。

雖然脆弱組件通常是軟件應用程序、模塊、驅動程序等（或可能是硬件設備），但受影響組件可能是軟件應用程序、硬件設備或網絡資源。這種衡量漏洞影響的潛力，而不是脆弱組件，是 CVSS v3.0 引入的一個關鍵功能。此屬性由 Scope 指標捕獲，稍後將對此進行討論。

生命周期評價衡量指標組反映瞭漏洞的特征，這些特征可能會隨時間而變化，但不會隨用戶環境而變化。例如簡單易用的漏洞利用工具包的存在將提高 CVSS 分值，而創建官方補丁則會降低該分值。

環境衡量指標組表示與特定用戶環境相關且唯一的漏洞特征。考慮因素包括是否存在安全控制，這些控制可以減輕成功攻擊的部分或全部後果，以及脆弱的系統在技術基礎架構中的相對重要性。

CVSS評分

當分析師為基礎評價配值時，基本方程計算分值

范圍從 0.0 到 10.0，如圖 2 所示。

圖 2：CVSS 指標和公式

具體而言，基礎方程是根據兩個子方程推導的：可利用性子分值方程和影響子分值方程。可利用性子分值等式派生自基本可利用度評價，而影響子評分等式派生自基礎評價。

然後，可以通過對”生命周期”和“環境”指標進行評分來優化基礎評價，以便更準確地反映漏洞在特定時間點對用戶環境造成的相對嚴重性。對生命周期評價和環境評價進行評分不是必需的，但建議進行更精確的評分。

通常，基礎評價和生命周期評價由漏洞公告分析師、安全產品供應商或應用程序供應商指定，因為它們通常具有有關漏洞特征的準確信息。環境評價由最終用戶組織指定，因為他們最能夠評估漏洞在自己的計算環境中的潛在影響。

SC或 CVSS 指標還會生成一個向量字符串，該字符串是用於對漏洞進行評分的指標值的文本表示形式。此向量字符串是一個特定格式的文本字符串，包含分配給每個指標的每個值，應始終與漏洞評分一起顯示。

請註意，所有指標都應在攻擊者已找到並識別漏洞的假設下進行評分。也就是說，分析人員無需考慮識別漏洞的方法。此外，許多不同類型的主體可能會對漏洞進行評分（例如軟件供應商，漏洞分析師，安全產品供應商），但請註意，漏洞評分旨在與個人及其組織無關。

資料來源：cvss document