سیستم امتیازدهی آسیب‌پذیری عام

سیستم امتیازدهی آسیب‌پذیری عام یا CVSS (به انگلیسی: Common Vulnerability Scoring System) یک استاندارد آزاد و صنعتی برای ارزیابی و تعیین شدت یک آسیب‌پذیری کامپیوتری است. این سیستم سعی می‌کند با اختصاص دادن یک امتیاز به میزان شدت آسیب پذیریها، به پاسخ دهندگان این امکان را بدهد که بتوانند برای رفع آسیب‌پذیری مورد نظر اولویت بندی کرده و منابع مورد نیاز را به آن اختصاص بدهند. این امتیازدهی به وسیله فرمولی محاسبه می‌شود که دارای چند معیار است، که سعی دارد سهولت اکسپلویت کردن و همچنین اثرات اکسپلویت آن آسیب‌پذیری را مشخص کند. امتیازها در بازه ۰ تا ۱۰ قرار دارند، که در آن ۱۰ به شدیدترین تهدید اشاره دارد. درحالی که اغلب به امتیاز پایهٔ CVSS برای تعیین میزان شدت آسیب‌پذیری رجوع می‌کنند، امتیازهای زمانی و مکانی نیز وجود دارند که به ترتیب به دنبال تعیین دسترس پذیر بودن راه مقابله با تهدید و همچنین میزان گستردگی آسیب‌پذیری سیستم‌ها در یک سازمان هستند.

آخرین نسخه CVSS نسخه CVSSv4 است که در سال 2023 منتشر شد.

تاریخچه

در خلال سال‌های ۲۰۰۳/۲۰۰۴ طی تحقیقاتی که توسط انجمن مشورتی زیرساخت ملی (NIAC یا National Infrastructure Advisory Council) با هدف ایجاد یک سیستم استاندارد و آزاد صنعتی برای تعیین شدت آسیب پذیری‌های کامپیوتری صورت پذیرفت، سرانجام منجر به ایجاد CVSS نسخه ۱ (CVSSv1) در فوریه ۲۰۰۵ شد. این پیش‌نویس(نسخه) اولیه هرگز مشروط بر بازنگری توسط سایر سازمان‌ها نبود. در آوریل ۲۰۰۵ سازمان NIAC، انجمن پاسخ به حادثه و تیم امنیتی (FIRST یا Forum of Incident Response and Security Team) را متولی توسعهٔ CVSS در آینده انتخاب کرد.

پس از دریافت بازخورد که از طرف تولیدکنندگانی که از CVSSv1 در محصولات خود استفاده می‌کردند، مشخص شد که "مشکلات قابل توجهی در پیش نویس اولیه CVSS" وجود دارد. کار بر روی CVSS نسخه دوم (CVSSv2) از آوریل ۲۰۰۵ آغاز شد و کار بر روی مشخصات فنی نهایی آن از ژوئن ۲۰۰۷ آغاز شد.

پس از دریافت بازخوردهای بیشتر در سال ۲۰۱۲ کار بر روی CVSS نسخه سوم (CVSSv3) آغاز شد، که در نهایت این نسخه در ژوئن ۲۰۱۵ با نام CVSSv3.0 منتشر شد.

اصطلاحات فنی

برآورد CVSS بر اساس اندازه‌گیری در سه زمینه بحرانی انجام میپذیرد:

1. معیار اصلی برای تعیین کیفیت ذاتی آسیب پذیری.
2. معیار زمانی که برای تعیین مشخصاتی است که در طول عمر آسیب‌پذیری تکامل پیدا می‌کند.
3. معیار مکانی که به آسیب پذیریهایی اشاره دارد که به یک پیاده‌سازی یا یک محیط خاص وابسته هستند.

برای هریک از این سه مورد یک امتیاز عددی تولید می‌شود. یک رشته برداری (یا به سادگی "بردار" در CVSS)، مقدارهای تمامی معیارها را به عنوان یک بلوک متنی به نمایش میگذارد.

منابع

• مشارکت‌کنندگان ویکی‌پدیا. «CVSS». در دانشنامهٔ ویکی‌پدیای انگلیسی، بازبینی‌شده در ۹ فوریه ۲۰۱۶.

پیوند به بیرون

• The Forum of Incident Response and Security Teams (FIRST) CVSS site
• National Vulnerability Database (NVD) CVSS site
• Common Vulnerability Scoring System v2 Calculator
• Security-Database online CVSS 2.0 calculator
• A list of early adopters