Ny CVSS-standard er til høring

Artiklen blev oprindeligt publiceret den 9/1/2015

Udviklerne af version 3 af CVSS (Common Vulnerability Scoring System) har sendt den til den sidste offentlige høring.

CVSS er en standard for, hvordan man risikovurderer sårbarheder i it-systemer. Ud fra en række faktorer beregnes et tal, der angiver risikoen.

Den nye version 3 adskiller sig fra forgængeren ved at inkorporere flere faktorer. En CVSSv3-vurdering beregnes ud fra disse elementer: Attack Vector, Attack Complexity, Privileges Required, User Interaction, Scope, Confidentiality Impact, Integrity Impact og Availability Impact.

Som noget nyt siger specifikationen nu, at CVSS-værdien altid skal beregnes fra det tidspunkt, hvor en sikkerhedshændelse første gang får indflydelse på tilgængelighed, fortrolighed eller integritet.

Sammen med specifikationen har udviklerne udsendt eksempler på, hvordan sårbarheder vil blive vurderet med det gamle og det nye system. Der er også et modul til at beregne CVSS-værdier.

Den seneste version menes at være tæt på færdig. Høringsperioden løber til udgangen af februar.

Links