سیستم امتیازدهی آسیبپذیری عام
سیستم امتیازدهی آسیبپذیری عام یا CVSS (به انگلیسی: Common Vulnerability Scoring System) یک استاندارد آزاد و صنعتی برای ارزیابی و تعیین شدت یک آسیبپذیری کامپیوتری است. این سیستم سعی میکند با اختصاص دادن یک امتیاز به میزان شدت آسیب پذیریها، به پاسخ دهندگان این امکان را بدهد که بتوانند برای رفع آسیبپذیری مورد نظر اولویت بندی کرده و منابع مورد نیاز را به آن اختصاص بدهند. این امتیازدهی به وسیله فرمولی محاسبه میشود که دارای چند معیار است، که سعی دارد سهولت اکسپلویت کردن و همچنین اثرات اکسپلویت آن آسیبپذیری را مشخص کند. امتیازها در بازه ۰ تا ۱۰ قرار دارند، که در آن ۱۰ به شدیدترین تهدید اشاره دارد. درحالی که اغلب به امتیاز پایهٔ CVSS برای تعیین میزان شدت آسیبپذیری رجوع میکنند، امتیازهای زمانی و مکانی نیز وجود دارند که به ترتیب به دنبال تعیین دسترس پذیر بودن راه مقابله با تهدید و همچنین میزان گستردگی آسیبپذیری سیستمها در یک سازمان هستند.
آخرین نسخه CVSS نسخه CVSSv3 است که در ژوئن ۲۰۱۵ منتشر شد.
تاریخچه
در خلال سالهای ۲۰۰۳/۲۰۰۴ طی تحقیقاتی که توسط انجمن مشورتی زیرساخت ملی (NIAC یا National Infrastructure Advisory Council) با هدف ایجاد یک سیستم استاندارد و آزاد صنعتی برای تعیین شدت آسیب پذیریهای کامپیوتری صورت پذیرفت، سرانجام منجر به ایجاد CVSS نسخه ۱ (CVSSv1) در فوریه ۲۰۰۵ شد. این پیشنویس(نسخه) اولیه هرگز مشروط بر بازنگری توسط سایر سازمانها نبود. در آوریل ۲۰۰۵ سازمان NIAC، انجمن پاسخ به حادثه و تیم امنیتی (FIRST یا Forum of Incident Response and Security Team) را متولی توسعهٔ CVSS در آینده انتخاب کرد.
پس از دریافت بازخورد که از طرف تولیدکنندگانی که از CVSSv1 در محصولات خود استفاده میکردند، مشخص شد که "مشکلات قابل توجهی در پیش نویس اولیه CVSS" وجود دارد. کار بر روی CVSS نسخه دوم (CVSSv2) از آوریل ۲۰۰۵ آغاز شد و کار بر روی مشخصات فنی نهایی آن از ژوئن ۲۰۰۷ آغاز شد.
پس از دریافت بازخوردهای بیشتر در سال ۲۰۱۲ کار بر روی CVSS نسخه سوم (CVSSv3) آغاز شد، که در نهایت این نسخه در ژوئن ۲۰۱۵ با نام CVSSv3.0 منتشر شد.
اصطلاحات فنی
برآورد CVSS بر اساس اندازهگیری در سه زمینه بحرانی انجام میپذیرد:
- معیار اصلی برای تعیین کیفیت ذاتی آسیب پذیری.
- معیار زمانی که برای تعیین مشخصاتی است که در طول عمر آسیبپذیری تکامل پیدا میکند.
- معیار مکانی که به آسیب پذیریهایی اشاره دارد که به یک پیادهسازی یا یک محیط خاص وابسته هستند.
برای هریک از این سه مورد یک امتیاز عددی تولید میشود. یک رشته برداری (یا به سادگی "بردار" در CVSS)، مقدارهای تمامی معیارها را به عنوان یک بلوک متنی به نمایش میگذارد.
منابع
- مشارکتکنندگان ویکیپدیا. «CVSS». در دانشنامهٔ ویکیپدیای انگلیسی، بازبینیشده در ۹ فوریه ۲۰۱۶.