修改問題的 CVSS 評分,來變更其嚴重性
您可以依問題基準,來變更問題的嚴重性,如此一來,您就可以分析每個關係到業務風險的漏洞。在問題分類期間,您可以手動將預先計算的 CVSS 評分,置換成嚴重性值,以便針對該問題的嚴重性,設定其相對於其他問題的優先順序。修改嚴重性,可協助您將問題的嚴重度傳達給開發和管理階層,以便優先修正更重要的漏洞。
執行這項作業的原因和時機
:程序
- 在應用程式中,按一下該問題的問題 ID。
- 在「關於此問題」對話框中,按一下「編輯屬性」。
- 如果「基本」測量值(存取向量、存取複雜度、鑑別、機密性影響、完整性影響、可用性影響)顯示成不明(空白),請為每一個選取一值。
在畫面擷取中,CVSS 基本測量值不明,沒有 CVSS 評分,且問題嚴重性是High。
- 將嚴重性值變更為Use CVSS。註: 如果您只變更「嚴重性值」,卻沒有變更「基本」測量值,在問題清單中,會將該問題分類為Undetermined,這表示嚴重性公式無法精確計算嚴重性,因為遺漏其在計算中使用的資訊。在這個畫面擷取中,已啟用顯示「嚴重性值」直欄,因此可看到手動置換了嚴重性。
結果
這是下一個畫面擷取,顯示如何將強調顯示的問題分類:
- 問題 #5:已修改 CVSS 基本測量值,但是沒有變更嚴重性值原本的High分類。計算出的 CVSS 評分現在是 5.3,且High嚴重性分類維持不變。
- 問題 #7:已修改 CVSS 基本測量值,且將嚴重性值變更為Use CVSS。計算出的 CVSS 評分是 6.4,現在的嚴重性分類是Medium。
- 問題 #3:未修改 CVSS 基本測量值,但已將嚴重性值變更為Use CVSS。由於「基本」測量值不明,沒有足夠資訊來計算 CVSS 評分,因此嚴重性分類是Undetermined。
