FIRST го објави CVSS 4.0 – Нов систем за бодување на ранливости

ноември 2, 2023 Вести 56 Views

Форумот на тимови за одговор на инциденти и безбедност (FIRST) официјално го објави CVSS v4.0 , следната генерација на стандардот за заеднички систем за бодување на ранливост, повеќе од осум години по објавувањето на CVSS v3.0 во јуни 2015 година.

„Оваа најнова верзија на CVSS 4.0 се обидува да обезбеди највисока верност на проценката на ранливоста и за индустријата и за јавноста“, се вели во соопштението на FIRST.

CVSS во суштина обезбедува начин да се доловат главните технички карактеристики на безбедносната ранливост и да се произведе нумерички резултат што ја означува нејзината сериозност. Резултатот може да се преведе на различни нивоа, како што се ниско, средно, високо и критично, за да им се помогне на организациите да им дадат приоритет на процесите за управување со ранливоста.

Едно од основните ажурирања на CVSS v3.1, објавено во јули 2019 година, беше да се нагласи и појасни дека „CVSS е дизајниран да ја мери сериозноста на ранливоста и не треба да се користи сам за да се процени ризикот“.

CVSS v3.1, исто така, привлече критики за општиот недостаток на грануларност во скалата за бодување и за неуспехот да ги претстави адекватно здравјето, безбедноста на луѓето и системите за индустриска контрола.

Најновата ревизија на стандардот има за цел да одговори на некои од овие недостатоци преку обезбедување на неколку дополнителни метрики за проценка на ранливоста, како што се безбедност (S), автоматизирано (A), обновување (R), густина на вредност (V), напор за одговор на ранливоста (RE ), и Итност на провајдер (U).

Таа, исто така, дебитира нова номенклатура за набројување на CVSS резултати користејќи комбинација од Основни (CVSS-B), База + Закана (CVSS-BT), База + Еколошка (CVSS-BE) и База + Закана + Еколошка (CVSS-BTE) оценки за сериозност.

Идејата, рече FIRST, е „да се зајакне концептот дека CVSS не е само Основен резултат“, додавајќи „оваа номенклатура треба да се користи секаде каде што се прикажува или комуницира нумеричка вредност CVSS“.

„Основната оценка на CVSS треба да биде дополнета со анализа на животната средина (Метрика на животната средина) и со атрибути кои може да се променат со текот на времето (Метрика на закани)“, се истакнува понатаму.

Извор: thehackernews.com

Check Also

Google вели дека продавачите на spyware стојат зад повеќето zero-days што ги открива

© 2025, Национален центар за одговор на компјутерски инциденти