最新版漏洞严重程度评级标准CVSS 4.0发布

日前，事件响应和安全团队论坛（FIRST）正式发布其通用漏洞评分系统（Common Vulnerability Scoring System）的最新一代版本CVSS v4.0评分标准，距离上一次主要版本CVSS v3.0发布已经过去了八年。

CVSS是一种用于评估软件安全漏洞严重性的标准化方法，通过多个维度（如可利用性、对机密性、完整性、可用性和所需权限的影响等）为漏洞分配数值分数或定性表示（如低、中、高和严重），较高的分数通常意味着更严重的漏洞。CVSS评分标准为企业以及各机构提供了一种量化的风险评估工具，有助于优先处理安全威胁，它提供了一种一致的方式来评估漏洞的影响，并能够在不同系统和软件之间进行比较。

据了解，本次修订后的评分系统提供了更细粒度的基本指标，消除了下游评分的不确定性，简化了威胁指标，并增强了评估特定环境安全要求和补偿控制措施的有效性。此外，还添加了几个用于漏洞评估的补充指标，如可自动化（可蠕虫攻击）、恢复（弹性）、价值密度、漏洞响应工作量和供应商紧迫性。

CVSS v4.0的另外一个重要增强功能是其相较前版本而言对OT/ICS/IoT的适用性，安全指标和值被添加到了补充和环境指标组中。该最新版本还添加了新的命名方式