اگر در زمینه امنیت سایبری فعالیت کرده باشید بخصوص در باگ بانتی ها اصطلاح CVSS به چشمتون خورده و همچنین این روزها که در خطر حمله سایبری هستیم این CVSS میتواند یک نقطه کمکی باشد .
برای نمونه برنامه شکار باگ پادویش :
اما CVSS چیه ؟!
در این مقاله میخواهیم با این واژه آشنا شویم
استاندارد Common Vulnerability Scoring System (CVSS) استانداردی برای ارزیابی شدت آسیب پذیریهای مطرح شده می باشد . این استاندارد در حقیقت میگوید اگر یک آسیب پذیری کشف شد چه تاثیری در سیستم آسیب پذیر می گذارد و این میزان را با نمره 1-10 بیان میکند. هر چه تاثیر آسیب پذیری بالا باشد این عدد نزدیک به 10 می باشد. اما دانستن شدت آسیب پذیری چه کمکی میکند ؟!
علاوه بر مسابقات شکار باگ ،با فهمیدن شدت یک آسیب پذیری کسانیکه در حوزه امنیت کار میکنند میتوانند فعالیت های خود را اولویت بندی کنند .اگر شدت یک آسیب پذیری 9 و دیگری 5 باشد به تبع باید اولویت کاری روی آسیب پذیری با نمره 9 باشد چون خطر جدی و گسترده تری متوجه سازمان می باشد .
این استاندارد 3 حوزه مختلف از آسیب پذیری را شامل میشود:
معیارهای پایه: معیارهای ذاتی یک آسیب پذیری
معیارهای زمانی: معیارهایی از آسیب پذیری که به مرور زمان تغییر می بایند .
معیارهای محیطی : معیارهایی که در یک محیط خاص کاربری سنجیده می شوند.
از بین این سه معیار اغلب مورد اولی بسیار مهم بوده و ارائه میشود.
این استاندارد توسط موسسه FIRST اداره می شود و تا هم اکنون نسخه 3.1 ارائه شده است .
مقاله فارسی و کامل این استاندارد میتونید اینجا بخونید.
شما میتونید نمره آسیب پذیری کشف شده اتون رو هم از اینجا کسب کنید .
