Mere præcise sårbarhedsvurderinger

Artiklen blev oprindeligt publiceret den 21/6/2007

CVSS-standarden for vurdering af sårbarheder er kommet i en ny version, der kan give en mere præcis risikovurdering.

CVSS, Common Vulnerability Scoring System, er en standardiseret metode til at måle, hvor farlig en sårbarhed i et it-system er. Systemet blev introduceret i februar 2005. Ansvaret for det blev siden overtaget af sikkerhedsorganisationen FIRST (Forum of Incident Response and Security Teams).

Siden introduktionen har CVSS været brugt i praksis. De praktiske erfaringer har medført en række ønsker til ændringer og forbedringer. Derfor har FIRST nu lanceret CVSS version 2. Ændringerne ligger i den måde, man udregner risikoen på. For eksempel kunne man oprindelig kun angive sværhedsgraden af at få adgang til et sårbart system som "høj" eller "lav". Nu er der tilføjet en "mellem"-værdi.

Flere offentlige institutioner og it-virksomheder anvender CVSS til risikovurdering af sårbarheder. Således er der angivet CVSS-tal ud for sårbarhederne i National Vulnerability Database.

Links

• FIRST's information om CVSS
• DK-CERT-artikel fra 2005 om introduktionen af CVSS
• National Vulnerability Database