通过修改问题的 CVSS 分数更改其严重性
更改问题严重性是逐个问题来执行的,以便您可分析每个漏洞与业务风险的关联性。在问题分类期间,可以通过使用严重性值手动覆盖预先计算的 CVSS 分数来更改问题的严重性,从而能够将该问题的严重性设置为优先于其他问题。修改严重性有助于向开发和管理人员传达某个问题比较严重的信息,以便先修订更严重的漏洞。
关于此任务
过程
- 在应用程序中,单击问题的问题标识。
- 单击关于该问题对话框中的编辑属性。
注: 如果为用户类型选择了限制对修改严重性值和 CVSS 属性的访问权这一许可权,则无法修改问题的严重性值和 CVSS 属性。请联系产品管理员。
-
如果基本度量(攻击向量、攻击复杂性、所需权限、用户交互、范围、机密性影响、完整性影响、可用性影响)显示为未知(空白),请为其中每一项选择值。
在此截屏中,CVSS 基本度量未知,没有任何 CVSS 分数,并且问题严重性为 High。
- 将严重性值更改为 Use CVSS。注: 如果仅更改“严重性值”,但不更改“基本度量”,那么该问题在问题列表中分类为 Undetermined,这意味着严重性公式无法准确计算严重性,因为它在其计算中使用的信息缺失。在此截屏中,我们启用了“严重性值”列的显示,以便可以看到严重性被手动覆盖。
结果
以下是我们在此下一个截屏中已分类突出显示的问题的方式:
- 问题 5:我们修改了 CVSS 基本度量,但是未将严重性值从其原始 High 分类更改为其他值。计算的 CVSS 分数现在为 5.3,并且 High 严重性分类保持不变。
- 问题 7:我们修改了 CVSS 基本度量,并将严重性值更改为 Use CVSS。计算的 CVSS 分数为 6.4,并且现在严重性分类为 Medium。
- 问题 3:我们未修改 CVSS 基本度量,但是已将严重性值更改为 Use CVSS。由于基本度量未知,因此没有足够信息来计算 CVSS 分数,所以严重性分类为 Undetermined。