問題の CVSS スコアを変更することによる問題の重大度の変更
問題の重大度の変更は、問題ごとに行われます。これにより、脆弱性がビジネス・リスクに関連している際に、個々の脆弱性を分析することができます。問題のトリアージ中に、重大度値を使用して事前に計算された CVSS スコアを手動で指定変更することにより、問題の重大度を変更することができます。そうすることによって、他の問題と相対的に比較して、問題の重大度の優先順位付けを行うことができます。重大度を変更することにより、問題の重大性を開発者や管理者に伝達して、より重大度の高い脆弱性を先に修正することが可能になります。
このタスクについて
手順
タスクの結果
以下に、次の画面キャプチャーで強調表示されている問題をどのようにトリアージしたかを示します。
- 問題 #5: CVSS 基本メトリックを変更しましたが、「重大度値」は元の「High」の分類から変更しませんでした。計算された CVSS スコアは 5.3 になり、「High」重大度分類は変わらないままです。
- 問題 #7: CVSS 基本メトリックを変更し、「重大度値」を「Use CVSS」に変更しました。計算された CVSS スコアは 6.4 になり、重大度の分類は「Medium」になりました。
- 問題 #3: CVSS 基本メトリックは変更しませんでしたが、「重大度値」を「Use CVSS」に変更しました。基本メトリックが不明であるため、CVSS スコアを計算するために十分な情報がないので、重大度の分類は「Undetermined」になります。