CVSS 评分
通用漏洞评分系统 (CVSS) 评分显示漏洞的整体安全影响。AppScan Enterprise 根据一个或多个指标的可用信息计算评分。可用信息越多,评分就越精确。
AppScan Enterprise 计算并显示 CVSS 3.1 和 CVSS 4.0 的评分:
-
CVSS 3.1:使用问题级别的基本和时间指标以及应用程序级别的环境指标的组合方法。
-
CVSS 4.0:根据基本属性计算评分,但不包括环境指标。修改应用程序的环境属性仅影响 CVSS 3.1 的计算。
属性映射和约束
AppScan Enterprise 将指标值映射到问题(安全漏洞)或发现问题的应用程序的属性。
注:
您无法在 AppScan Enterprise 中删除或修改这些属性,但可以更改它们的值。
CVSS 4.0 实施
AppScan Enterprise 与 CVSS 3.1 一起计算 CVSS 4.0 评分。当您修改问题的 CVSS 属性时,AppScan Enterprise 会重新计算这两个版本。提供了新属性来存储 CVSS 4.0 评分和 CVSS 4.0 向量字符串。
| 指标组 | 指标名称 | 问题或应用程序属性 | 计算 CVSS 评分所需的定义 |
|---|---|---|---|
| 基本 (Base) | 攻击向量 | 问题 | 是 |
| 攻击复杂性 | 问题 | 是 | |
| 所需特权 | 问题 | 是 | |
| 用户交互 | 问题 | 是 | |
| 范围 | 问题 | 是 | |
| 机密性影响 | 问题 | 是 | |
| 完整性影响 | 问题 | 是 | |
| 可用性影响 | 问题 | 是 | |
| 时间 (Temporal) | 漏洞利用代码成熟度 | 问题 | 否* |
| 修复级别 | 问题 | 否* | |
| 报告可信度 | 问题 | 否* | |
| 环境 (Environmental) 这些指标也有助于应用程序的整体严重性评级。 |
修改后的基本指标 | 应用程序 | 否* |
| 可用性要求 | 应用程序 | 否* | |
| 机密性要求 | 应用程序 | 否* | |
| 完整性要求 | 应用程序 | 否* |
注:
- * 虽然不强制要求定义这些属性,但当定义了更多指标来描述问题时,CVSS 评分会更具针对性。
- 任何未定义的可选属性均不包含在 CVSS 评分计算中。
- 如果未定义任何所需属性,则无法计算 CVSS 评分。在这种情况下,问题严重性将分类为未确定。
-
有关 CVSS 指标详细信息的更多信息,请参考以下链接: