FIRST 发布通用漏洞评分系统 4.0 版本

CTOnews.com 11 月 2 日消息，事件响应和安全团队论坛（FIRST）今天正式发布了 CVSS 4.0 通用漏洞评分系统，相比较 3.0（上个主要版本）相隔 8 年时间。

CTOnews.com注：CVSS（Common Vulnerability Scoring System）是一种用于衡量软件漏洞严重性的标准化方法，它通过多个维度（如攻击复杂度、影响范围等）对漏洞进行评分，从而为企业和组织提供了一个量化的风险评估工具。

FIRST 表示：

修订后的标准为消费者提供了更精细的基本指标，消除了下游评分的模糊性，简化了威胁指标，并提高了评估特定环境安全要求以及补偿控制的有效性。

此外，还增加了几个漏洞评估的补充指标，包括可自动化（可蠕虫）、恢复（弹性）、价值密度、漏洞响应工作和提供商紧迫性。

CVSS v4.0 的一个关键增强功能是对 OT / ICS / IoT 的额外适用性，将安全指标和值添加到补充和环境指标组中。

新版本还添加了新的命名方法，包括 Base （CVSS-B）、Base + Threat（CVSS-BT）、Base + Environmental（CVSS-BE）和 Base + Threat + Environmental （CVSS-BTE）。

FIRST 首席执行官 Chris Gibson 表示：

CVSS 系统在过去 18 年中发展迅速，每个版本都建立在我们抵御网络犯罪的能力之上。我为 CVSS-SIG 为制作 4.0 版本所付出的辛勤工作和奉献精神感到无比自豪。

作为一个会员制组织，我们的目标是赋予我们的成员和行业权力，展示领导力，并确保我们致力于不断改进我们的合作方式，以保护全球人民免受网络攻击。