CVSS 評分
通用漏洞評分系統 (CVSS) 評分顯示漏洞的整體安全影響。AppScan Enterprise 根據一個或多個指標的可用資訊計算評分。可用資訊越多,評分就越精確。
AppScan Enterprise 計算並顯示 CVSS 3.1 和 CVSS 4.0 的評分:
-
CVSS 3.1:使用問題層級的基本和時間指標以及應用程式層級的環境指標的組合方法。
-
CVSS 4.0:根據基本屬性計算評分,但不包含環境指標。修改應用程式的環境屬性僅影響 CVSS 3.1 的計算。
屬性對應和限制
AppScan Enterprise 將指標值對應到問題(安全漏洞)或發現問題的應用程式的屬性。
註:
您無法在 AppScan Enterprise 中刪除或修改這些屬性,但可以變更它們的值。
CVSS 4.0 實作
AppScan Enterprise 與 CVSS 3.1 一起計算 CVSS 4.0 評分。當您修改問題的 CVSS 屬性時,AppScan Enterprise 會重新計算這兩個版本。提供了新屬性來儲存 CVSS 4.0 評分和 CVSS 4.0 向量字串。
| 指標群組 | 指標名稱 | 問題或應用程式屬性 | 計算 CVSS 評分所需的定義 |
|---|---|---|---|
| 基本 (Base) | 攻擊向量 | 問題 | 是 |
| 攻擊複雜性 | 問題 | 是 | |
| 所需權限 | 問題 | 是 | |
| 使用者互動 | 問題 | 是 | |
| 範圍 | 問題 | 是 | |
| 機密性影響 | 問題 | 是 | |
| 完整性影響 | 問題 | 是 | |
| 可用性影響 | 問題 | 是 | |
| 時間 (Temporal) | 漏洞利用程式碼成熟度 | 問題 | 否* |
| 修復等級 | 問題 | 否* | |
| 報告可信度 | 問題 | 否* | |
| 環境 (Environmental) 這些指標也有助於應用程式的整體嚴重性評級。 |
修改後的基本指標 | 應用程式 | 否* |
| 可用性需求 | 應用程式 | 否* | |
| 機密性需求 | 應用程式 | 否* | |
| 完整性需求 | 應用程式 | 否* |
註:
- * 雖然不強制要求定義這些屬性,但當定義了更多指標來描述問題時,CVSS 評分會更具針對性。
- 任何未定義的選用屬性均不包含在 CVSS 評分計算中。
- 如果未定義任何所需屬性,則無法計算 CVSS 評分。在這種情況下,問題嚴重性將分類為未確定。
-
有關 CVSS 指標詳細資訊的更多資訊,請參考以下連結: