Чем отличается подход CVSS v3.1 к оценке уязвимостей от предыдущих версий?

Подход CVSS версии 3.1 к оценке уязвимостей отличается от предыдущих версий тем, что в ней были уточнены определения и формулировки для повышения ясности и согласованности оценок. www.securityvision.ru

Некоторые изменения:

• Добавление новых метрик для более тонкой оценки. www.securityvision.ru Например, сложность атаки (Attack Complexity) дополнена требованиями атаки (Attack Requirements, AT), которые описывают предварительные условия для успешной атаки на уязвимый компонент. www.securityvision.ru
• Переработка некоторых метрик для устранения двусмысленности. www.securityvision.ru Так, метрика «Взаимодействие с пользователем» (UI) теперь имеет значение «Пассивное» (P), когда от пользователя требуется лишь посетить вредоносный сайт, и «Активное» (A), когда нужно выполнить более сложные действия. www.securityvision.ru
• Введение метрики Scope («Область влияния») в версии 3. www.securityvision.ru

Также в CVSS 3.1 попытались закрепить в спецификации тот факт, что CVSS является мерилом серьёзности уязвимости, а не создаваемых ей рисков. www.kaspersky.ru