FIRST опубликовали следующее поколение стандарта CVSS версии 4.0
На сайте FIRST (Forum of Incident Response and Security Teams) представлено следующее поколение стандарта CVSS (Common Vulnerability Scoring System) версии 4.0, новая версия системы оценки уязвимостей.
Новая версия содержит большое количество изменений.
По мнению экспертов RTM Group, ключевыми изменениями являются следующие:
Введена номенклатура обозначений комбинаций групп метрик, которая теперь должна указываться вместе с числовым значением оценки:
- CVSS-B: Базовые метрики
- CVSS-BE: Базовые метрики и контекстные метрики
- CVSS-BT: Базовые метрики и метрики угроз
- CVSS-BTE: Базовые метрики, метрики угроз и контекстные метрики
При этом группа временных метрик переименована в группу метрик угроз и несколько упрощена.
В рамках нового стандарта, для оценки риска следует использовать именно CVSS-BTE, в то время как базовые метрики могут служить лишь описанием самого недостатка.
Также внедрена новая необязательная группа дополнительных метрик, которая не влияет на общую оценку CVSS-BTE и может использоваться потребителем для своих внутренних целей:
- Безопасность
- Автоматизируемость
- Срочность устранения
- Контроль над ресурсами
- Восстановление
- Усилия по реагированию
Помимо сказанного, добавлены новые базовые метрики и значения.
Таким образом, новый стандарт должен предоставлять более точную и детальную оценку уязвимостей, а также учитывать недостатки предыдущих поколений стандарта.