Scores CVSS

Le score du système commun d'évaluation des vulnérabilités (CVSS) indique l'impact global d'une vulnérabilité sur la sécurité. AppScan Enterprise calcule le score en fonction des informations disponibles pour une ou plusieurs métriques. Plus il y a d'informations disponibles, plus le score devient précis.

AppScan Enterprise calcule et affiche les scores pour CVSS 3.1 et CVSS 4.0 :

  • CVSS 3.1 : Utilise une approche combinée de métriques de base et temporelles au niveau du problème et de métriques environnementales au niveau de l'application.

  • CVSS 4.0 : Calcule le score en fonction des attributs de base, mais n'inclut pas les métriques environnementales. La modification des attributs environnementaux d'une application n'a d'impact que sur le calcul CVSS 3.1.

Mappage des attributs et contraintes

AppScan Enterprise mappe les valeurs de métriques aux attributs d'un problème (vulnérabilité de sécurité) ou de l'application où le problème a été détecté.
Remarque :
Vous ne pouvez pas supprimer ou modifier ces attributs dans AppScan Enterprise, mais vous pouvez modifier leurs valeurs.

Implémentation de CVSS 4.0

AppScan Enterprise calcule les scores CVSS 4.0 en plus du CVSS 3.1. Lorsque vous modifiez les attributs CVSS d'un problème, AppScan Enterprise recalcule les deux versions. De nouveaux attributs sont disponibles pour stocker le score CVSS 4.0 et la chaîne vectorielle CVSS 4.0.

Tableau 1. Métriques CVSS

Groupe de métriques Nom de la métrique Attribut du problème ou de l'application Définition requise pour calculer le score CVSS
De base (Base) Vecteur d'attaque Problème Oui
Complexité de l'attaque Problème Oui
Privilèges requis Problème Oui
Interaction utilisateur Problème Oui
Portée Problème Oui
Impact sur la confidentialité Problème Oui
Impact sur l'intégrité Problème Oui
Impact sur la disponibilité Problème Oui
Temporelle (Temporal) Maturité du code d'exploitation Problème Non*
Niveau de remédiation Problème Non*
Niveau de confiance du rapport Problème Non*
Environnementale (Environmental)

Ces métriques contribuent également à l'évaluation globale de la gravité de l'application.

 Métriques de base modifiées Application Non*
Exigence de disponibilité Application Non*
Exigence de confidentialité Application Non*
Exigence d'intégrité Application Non*
Remarque :
  • * Bien qu'il ne soit pas obligatoire de définir ces attributs, le score CVSS est plus précis lorsque davantage de métriques sont définies pour décrire le problème.
  • Tout attribut facultatif qui n'est pas défini n'est pas inclus dans le calcul du score CVSS.
  • Le score CVSS ne peut pas être calculé si un attribut requis n'est pas défini. Dans ce cas, la gravité du problème est classée comme Indéterminée.

  • Pour plus d'informations sur les détails des métriques CVSS, consultez les liens suivants :