事件响应和安全团队论坛 (FIRST) 正式发布了 CVSS v4.0，这是其下一代通用漏洞评分系统标准，距上一个主要版本 CVSS v3.0 已经过去了八年。

CVSS 是一个用于评估软件安全漏洞严重性的标准化框架，用于根据可利用性、对机密性、完整性、可用性和所需权限的影响来分配数字分数或定性表示（例如低、中、高和关键），并具有更高的权限。分数表示更严重的漏洞。

通用漏洞评分系统4.0版

CVSS 4.0 版是下一代通用漏洞评分系统标准。CVSS v4.0 中纳入的一些更改包括：

• 强化 CVSS 不仅仅是基本分数的概念

• 添加了新的术语来识别基础 (CVSS-B)、基础 + 威胁 (CVSS-BT)、基础 + 环境 (CVSS-BE) 和基础 + 威胁 + 环境 (CVSS-BTE) 的组合

• 通过添加新的基本指标和值来实现更细的粒度：

• 新的基本指标：攻击要求 (AT)

• 新的基本指标值：用户交互 (UI)：被动 (P) 和主动 (A)

• 增强影响指标的披露：

• 范围已退役

• 明确评估对脆弱系统（VC、VI、VA）和后续系统（SC、SI、SA）的影响

• 时间指标组重命名为威胁指标组

• 威胁指标得到简化和明确

• 修复级别 (RL) 和报告置信度 (RC) 已停用

• 利用“代码”成熟度重命名为利用成熟度 (E)，具有更清晰的值

• 新的补充指标组可传达漏洞的其他外在属性，这些属性不会影响最终的 CVSS-BTE 分数

• 安全（S）

• 自动化 (A)

• 恢复（R）

• 价值密度（V）

• 漏洞响应工作 (RE)

• 提供商紧急度 (U)

• 更多关注 OT/ICS/安全

• 消费者评估的安全性（MSI:S、MSA:S）

• 提供商通过安全 (S) 补充指标评估安全

有关 CVSS v4.0 新增功能的更多信息，请点击阅读原文获取PDF。

FIRST 表示：“修订后的标准为消费者提供了更细粒度的基本指标，消除了下游评分的模糊性，简化了威胁指标，并提高了评估特定环境安全要求以及补偿控制的有效性。”

“CVSS 系统在过去 18 年中得到了快速发展，每个版本都建立在我们防御网络犯罪的能力之上。我为 CVSS-SIG 为开发 4.0 版本所付出的辛勤工作和奉献精神感到非常自豪。这是及时的，因为我们继续看到世界各地的威胁显着增加。” FIRST 首席执行官 Chris Gibson说道。

“作为一个会员组织，我们的目标是赋予我们的会员和行业权力，展示领导力并确保我们致力于不断改进我们的合作方式，以保护全球人民免受网络攻击。”

去年，FIRST 还发布了 TLP 2.0，这是计算机安全事件响应团队 (CSIRT) 社区在共享敏感信息时使用的最新版本的交通灯协议 (TLP) 标准。

原文始发于微信公众号（安全客）：新的CVSS 4.0漏洞严重程度评级标准发布