Как определяется степень серьезности уязвимостей безопасности CVE?

Степень серьёзности уязвимостей безопасности CVE определяется с помощью системы оценки CVSS (Common Vulnerability Scoring System). selectel.ru Она предполагает расчёт критичности конкретной уязвимости по десятибалльной шкале. selectel.ru

Оценка основана на четырёх группах метрик: xygeni.io

1. Базовая оценка. xygeni.io Отражает внутренние характеристики уязвимости, которые постоянны во времени и в разных средах пользователя. xygeni.io Учитывает такие факторы, как возможность использования, влияние на конфиденциальность, целостность и доступность. xygeni.io
2. Временная оценка. selectel.ru Учитывает актуальность уязвимости, наличие действующего эксплойта или патча, который её закрывает. selectel.ru Временные метрики включают зрелость кода эксплойта, уровень исправления и достоверность отчёта. xygeni.io
3. Оценка состояния окружающей среды. xygeni.io Позволяет организациям настраивать оценку CVSS, чтобы отразить влияние уязвимости в их конкретной среде. xygeni.io Учитывает такие факторы, как важность затронутой системы и потенциальный сопутствующий ущерб. xygeni.io
4. Дополнительная группа показателей. xygeni.io Обеспечивает дополнительный контекст, который может повлиять на общую оценку риска. xygeni.io Сюда входят такие соображения, как требования безопасности, автоматизированные метрики и уникальные характеристики. xygeni.io

Итоговый балл уязвимости рассчитывают как комбинацию метрик CVSS. selectel.ru Он выражается числом от 0 до 10 с шагом 0,1. selectel.ru Чем выше значение, тем выше риск, и тем оперативнее необходимо устранить уязвимость. selectel.ru

Степени опасности по шкале: habr.com

• Низкая — от 0,1 до 3,9 баллов. habr.com
• Средняя — от 4 до 6,9. habr.com
• Высокая — от 7 до 8,9. habr.com
• Критическая — от 9 до 10. habr.com