CVSS 分数
CVSS 分数反映漏洞的总体安全性影响,它是一个组合分数,反映了三个不同类别中的度量:基本、时间和环境。
此分数基于可用于其中一个或多个度量的信息(例如,值)进行计算。每个度量中可用的信息越多,CVSS 分数的针对性就会越强。在 AppScan Enterprise 中,每个度量的值映射到某个问题(安全漏洞)或发现该问题的应用程序的属性。在 AppScan Enterprise 中无法删除或修改这些属性,但是您可以修改其值。
度量组 | 度量名称 | 问题或应用程序属性 | 计算 CVSS 分数所需的定义 |
---|---|---|---|
基本 | 攻击途径 | 问题 | 是 |
攻击复杂性 | 问题 | 是 | |
所需权限 | 问题 | 是 | |
用户交互 | 问题 | 是 | |
范围 | 问题 | 是 | |
机密性影响 | 问题 | 是 | |
完整性影响 | 问题 | 是 | |
可用性影响 | 问题 | 是 | |
时间 | 利用代码成熟度 | 问题 | 否* |
补救级别 | 问题 | 否* | |
报告置信度 | 问题 | 否* | |
环境 在应用程序的总体安全性分级中也会考虑这些度量。 |
已修改基本度量 | 应用程序 | 否* |
可用性要求 | 应用程序 | 否* | |
机密性需求 | 应用程序 | 否* | |
完整性需求 | 应用程序 | 否* |
注:
- * 虽然并未要求定义这些属性,但是如果定义了更多度量来描述问题,CVSS 分数的针对性会更强。
- 未定义的任何可选属性不会包含在 CVSS 分数计算中。
- 如果未定义任何必需属性,则无法计算 CVSS 分数。在此情况下,问题严重性将分类为 Undetermined。
-
有关 CVSS 度量的详细信息,请参阅以下链接: