CVSS 分数

CVSS 分数反映漏洞的总体安全性影响,它是一个组合分数,反映了三个不同类别中的度量:基本、时间和环境。

此分数基于可用于其中一个或多个度量的信息(例如,值)进行计算。每个度量中可用的信息越多,CVSS 分数的针对性就会越强。在 AppScan Enterprise 中,每个度量的值映射到某个问题(安全漏洞)或发现该问题的应用程序的属性。在 AppScan Enterprise 中无法删除或修改这些属性,但是您可以修改其值。

1. CVSS 度量

度量组 度量名称 问题或应用程序属性 计算 CVSS 分数所需的定义
基本 攻击途径 问题
攻击复杂性 问题
所需权限 问题
用户交互 问题
范围 问题
机密性影响 问题
完整性影响 问题
可用性影响 问题
时间 利用代码成熟度 问题 否*
补救级别 问题 否*
报告置信度 问题 否*
环境

在应用程序的总体安全性分级中也会考虑这些度量。

已修改基本度量 应用程序 否*
可用性要求 应用程序 否*
机密性需求 应用程序 否*
完整性需求 应用程序 否*
注:
  • * 虽然并未要求定义这些属性,但是如果定义了更多度量来描述问题,CVSS 分数的针对性会更强。
  • 未定义的任何可选属性不会包含在 CVSS 分数计算中。
  • 如果未定义任何必需属性,则无法计算 CVSS 分数。在此情况下,问题严重性将分类为 Undetermined
  • 有关 CVSS 度量的详细信息,请参阅以下链接: