CVSS 分数
CVSS 分数反映漏洞的总体安全性影响,它是一个组合分数,反映了三个不同类别中的度量:基本、时间和环境。
此分数基于可用于其中一个或多个度量的信息(例如,值)进行计算。每个度量中可用的信息越多,CVSS 分数的针对性就会越强。在 AppScan Enterprise 中,每个度量的值映射到某个问题(安全漏洞)或发现该问题的应用程序的属性。在 AppScan Enterprise 中无法删除或修改这些属性,但是您可以修改其值。
| 度量组 | 度量名称 | 问题或应用程序属性 | 计算 CVSS 分数所需的定义 | 度量描述 |
|---|---|---|---|---|
| 基本 | 访问向量 | 问题 | 是 | 漏洞是仅可从本地利用,也可从相邻网络利用,还是可从任何网络连接利用(“可远程利用”)。 |
| 访问复杂度 | 问题 | 是 | 利用该漏洞时所涉及的困难。 | |
| 认证 | 问题 | 是 | 攻击者要利用漏洞时必须向目标进行认证的次数。 | |
| 机密性影响 | 问题 | 是 | 成功利用该漏洞对机密性的影响。 | |
| 完整性影响 | 问题 | 是 | 成功利用该漏洞后损害系统完整性(由应用程序提供的信息的准确性)的程度。 | |
| 可用性影响 | 问题 | 是 | 成功利用该漏洞对信息资源可用性的影响。 | |
| 时间 | 可利用性 | 问题 | 否* | 利用技术或代码漏洞的当前状态。 |
| 修复级别 | 问题 | 否* | 对漏洞进行防护的可用修复级别。 | |
| 报告置信度 | 问题 | 否* | 漏洞的存在和技术详细信息的置信度等级。 | |
| 环境 在应用程序的总体安全性分级中也会考虑这些度量。 |
潜在间接损害 | 应用程序 | 否* | 如果应用程序有漏洞,可能会被损坏或被盗。 |
| 目标分布 | 应用程序 | 否* | 属于潜在目标的环境中系统的比例。 | |
| 可用性需求 | 应用程序 | 否* | 信息可用性的相对重要性。 | |
| 机密性需求 | 应用程序 | 否* | 用户信息机密性的相对重要性。 | |
| 完整性需求 | 应用程序 | 否* | 信息完整性或准确性的相对重要性。 |
注:
- * 虽然并未要求定义这些属性,但是如果定义了更多度量来描述问题,CVSS 分数的针对性会更强。
- 未定义的任何可选属性不会包含在 CVSS 分数计算中。
- 如果未定义任何必需属性,则无法计算 CVSS 分数。在此情况下,问题严重性将分类为 Undetermined。