CVSS 評分

CVSS 評分會反映漏洞造成的整體安全衝擊,並且是一個複合評分,可反映下列三個不同種類的度量:基本、時間和環境。

評分的計算以這一或多個度量的可用資訊為基礎(例如:值)。在每個度量中提供的資訊越多,CVSS 評分也越清晰。在 AppScan Enterprise 中,每一個度量的值會對映至問題(安全漏洞)的屬性,或問題發現所在之應用程式的屬性。這些屬性無法在 AppScan Enterprise 中刪除或修改,不過您可以修改它們的值。

1. CVSS 度量

度量群組 度量名稱 問題或應用程式的屬性 計算 CVSS 評分所需的定義
基本 攻擊向量 問題
攻擊複雜度 問題
需要權限 問題
使用者互動 問題
範圍 問題
機密性影響 問題
完整性影響 問題
可用性影響 問題
時間 攻擊程式碼成熟度 問題 否*
補救層級 問題 否*
報告信心度 問題 否*
環境

這些度量也會附加至應用程式的整體嚴重性等級。

已修改的基本測量指標 應用程式 否*
可用性需求 應用程式 否*
機密性需求 應用程式 否*
完整性需求 應用程式 否*
註:
  • * 儘管不一定要定義這些屬性,當定義越多的度量來說明問題時,能使 CVSS 評分更聚焦。
  • 任何沒有定義的選用屬性不會包含在 CVSS 評分計算中。
  • 如果沒有定義任何必要的屬性,就無法計算 CVSS 評分。在此情況下,問題嚴重性會分類為Undetermined
  • 如需更多有關 CVSS 測量指標詳細資料的資訊,請參閱下列連結: