CVSS 分数
CVSS 分数反映漏洞的总体安全性影响,它是一个组合分数,反映了三个不同类别中的度量:基本、时间和环境。
此分数基于可用于其中一个或多个度量的信息(例如,值)进行计算。每个度量中可用的信息越多,CVSS 分数的针对性就会越强。在 AppScan Enterprise 中,每个度量的值映射到某个问题(安全漏洞)或发现该问题的应用程序的属性。在 AppScan Enterprise 中无法删除或修改这些属性,但是您可以修改其值。
| 度量组 | 度量名称 | 问题或应用程序属性 | 计算 CVSS 分数所需的定义 |
|---|---|---|---|
| 基本 | 攻击途径 | 问题 | 是 |
| 攻击复杂性 | 问题 | 是 | |
| 所需权限 | 问题 | 是 | |
| 用户交互 | 问题 | 是 | |
| 范围 | 问题 | 是 | |
| 机密性影响 | 问题 | 是 | |
| 完整性影响 | 问题 | 是 | |
| 可用性影响 | 问题 | 是 | |
| 时间 | 利用代码成熟度 | 问题 | 否* |
| 补救级别 | 问题 | 否* | |
| 报告置信度 | 问题 | 否* | |
| 环境 在应用程序的总体安全性分级中也会考虑这些度量。 |
已修改基本度量 | 应用程序 | 否* |
| 可用性要求 | 应用程序 | 否* | |
| 机密性需求 | 应用程序 | 否* | |
| 完整性需求 | 应用程序 | 否* |
注:
- * 虽然并未要求定义这些属性,但是如果定义了更多度量来描述问题,CVSS 分数的针对性会更强。
- 未定义的任何可选属性不会包含在 CVSS 分数计算中。
- 如果未定义任何必需属性,则无法计算 CVSS 分数。在此情况下,问题严重性将分类为 Undetermined。
-
有关 CVSS 度量的详细信息,请参阅以下链接: