CVSS 評分
CVSS 評分會反映漏洞造成的整體安全衝擊,並且是一個複合評分,可反映下列三個不同種類的度量:基本、時間和環境。
評分的計算以這一或多個度量的可用資訊為基礎(例如:值)。在每個度量中提供的資訊越多,CVSS 評分也越清晰。在 AppScan Enterprise 中,每一個度量的值會對映至問題(安全漏洞)的屬性,或問題發現所在之應用程式的屬性。這些屬性無法在 AppScan Enterprise 中刪除或修改,不過您可以修改它們的值。
| 度量群組 | 度量名稱 | 問題或應用程式的屬性 | 計算 CVSS 評分所需的定義 |
|---|---|---|---|
| 基本 | 攻擊向量 | 問題 | 是 |
| 攻擊複雜度 | 問題 | 是 | |
| 需要權限 | 問題 | 是 | |
| 使用者互動 | 問題 | 是 | |
| 範圍 | 問題 | 是 | |
| 機密性影響 | 問題 | 是 | |
| 完整性影響 | 問題 | 是 | |
| 可用性影響 | 問題 | 是 | |
| 時間 | 攻擊程式碼成熟度 | 問題 | 否* |
| 補救層級 | 問題 | 否* | |
| 報告信心度 | 問題 | 否* | |
| 環境 這些度量也會附加至應用程式的整體嚴重性等級。 |
已修改的基本測量指標 | 應用程式 | 否* |
| 可用性需求 | 應用程式 | 否* | |
| 機密性需求 | 應用程式 | 否* | |
| 完整性需求 | 應用程式 | 否* |
註:
- * 儘管不一定要定義這些屬性,當定義越多的度量來說明問題時,能使 CVSS 評分更聚焦。
- 任何沒有定義的選用屬性不會包含在 CVSS 評分計算中。
- 如果沒有定義任何必要的屬性,就無法計算 CVSS 評分。在此情況下,問題嚴重性會分類為Undetermined。
-
如需更多有關 CVSS 測量指標詳細資料的資訊,請參閱下列連結: