近日，事故響應(yīng)與安全團(tuán)隊(duì)論壇（FIRST）正式發(fā)布了通用漏洞評(píng)分系統(tǒng)標(biāo)準(zhǔn)CVSS v4.0，這個(gè)全新版本距離上一版 CVSS v3.0 已經(jīng)過(guò)去了八年。

CVSS 是評(píng)估軟件安全漏洞嚴(yán)重性的標(biāo)準(zhǔn)化框架，可根據(jù)可利用性、可依據(jù)保密性、完整性、可用性和所需權(quán)限的影響等因素進(jìn)行評(píng)分，或以低、中、高和關(guān)鍵幾種等級(jí)定性，最終分?jǐn)?shù)越高則表示漏洞越嚴(yán)重。

這種評(píng)估方法可能夠通過(guò)漏洞的影響來(lái)比較不同系統(tǒng)和軟件的風(fēng)險(xiǎn)，有助于人們優(yōu)先應(yīng)對(duì)安全威脅。

FIRST 方面表示：這一版修訂后的評(píng)估標(biāo)準(zhǔn)為消費(fèi)者提供了更加精細(xì)的基礎(chǔ)指標(biāo)，消除了之前模糊的下游評(píng)分，簡(jiǎn)化了威脅指標(biāo)，并提高了評(píng)估特定環(huán)境安全要求和補(bǔ)償控制的有效性。此外，新版標(biāo)準(zhǔn)還增加了幾個(gè)用于漏洞評(píng)估的補(bǔ)充指標(biāo)，包括自動(dòng)（可蠕蟲(chóng)）、漏洞響應(yīng)力度和緊迫性等。

今年 6 月，F(xiàn)IRST 在加拿大蒙特利爾舉行的第 35 屆年會(huì)上正式發(fā)布了 CVSS 4.0 版本，并稱其為 "網(wǎng)絡(luò)領(lǐng)域的游戲規(guī)則改變者"，此版本距離 2005 年 2 月發(fā)布的 CVSS 第一版本已經(jīng)過(guò)去了 18 年。

FIRST 首席執(zhí)行官 Chris Gibson 表示：目前全球漏洞威脅數(shù)量顯著增加， CVSS4.0 版本的發(fā)布恰逢其時(shí)。在過(guò)去的 18 年中，CVSS 系統(tǒng)發(fā)展的很快，幾乎每一個(gè)版本都賦予了人們更強(qiáng)的抵御網(wǎng)絡(luò)犯罪的能力。我們對(duì)于 CVSS-SIG 開(kāi)發(fā) 4.0 版本所付出的努力感到無(wú)比自豪。

作為一個(gè)會(huì)員制的組織，Chris Gibson認(rèn)為其主要目標(biāo)就是增強(qiáng)會(huì)員的能力，以及保護(hù)全球人民免受網(wǎng)絡(luò)攻擊。

去年，F(xiàn)IRST 還發(fā)布了 TLP 2.0，這是計(jì)算機(jī)安全事件響應(yīng)小組（CSIRT）社區(qū)在共享敏感信息時(shí)使用的最新版交通燈協(xié)議（TLP）標(biāo)準(zhǔn)。