CVSS 評分
CVSS 評分會反映漏洞造成的整體安全衝擊,並且是一個複合評分,可反映下列三個不同種類的度量:基本、時間和環境。
評分的計算以這一或多個度量的可用資訊為基礎(例如:值)。在每個度量中提供的資訊越多,CVSS 評分也越清晰。在 AppScan Enterprise 中,每一個度量的值會對映至問題(安全漏洞)的屬性,或問題發現所在之應用程式的屬性。這些屬性無法在 AppScan Enterprise 中刪除或修改,不過您可以修改它們的值。
度量群組 | 度量名稱 | 問題或應用程式的屬性 | 計算 CVSS 評分所需的定義 |
---|---|---|---|
基本 | 攻擊向量 | 問題 | 是 |
攻擊複雜度 | 問題 | 是 | |
需要權限 | 問題 | 是 | |
使用者互動 | 問題 | 是 | |
範圍 | 問題 | 是 | |
機密性影響 | 問題 | 是 | |
完整性影響 | 問題 | 是 | |
可用性影響 | 問題 | 是 | |
時間 | 攻擊程式碼成熟度 | 問題 | 否* |
補救層級 | 問題 | 否* | |
報告信心度 | 問題 | 否* | |
環境 這些度量也會附加至應用程式的整體嚴重性等級。 |
已修改的基本測量指標 | 應用程式 | 否* |
可用性需求 | 應用程式 | 否* | |
機密性需求 | 應用程式 | 否* | |
完整性需求 | 應用程式 | 否* |
註:
- * 儘管不一定要定義這些屬性,當定義越多的度量來說明問題時,能使 CVSS 評分更聚焦。
- 任何沒有定義的選用屬性不會包含在 CVSS 評分計算中。
- 如果沒有定義任何必要的屬性,就無法計算 CVSS 評分。在此情況下,問題嚴重性會分類為Undetermined。
-
如需更多有關 CVSS 測量指標詳細資料的資訊,請參閱下列連結: