Как эволюционировала система CVSS с момента первой версии до CVSSv3?
Первая версия CVSS была обнародована в феврале 2005 года. 5 Она не подвергалась экспертной оценке сторонних организаций, поэтому в ней обнаружили значительные недостатки. 5 Основным недостатком признали малое число оценочных критериев — существовало много уязвимостей с одинаковой оценкой. 1
Вторая версия была опубликована 1 июня 2007 года и получила широкое распространение. 1 В апреле 2011 года CVSS 2.0 был официально принят в качестве международного стандарта для оценки уязвимостей. 1
В 2012 году началась разработка стандарта CVSSv3, окончательная версия которого была выпущена в июне 2015 года. 59 Некоторые изменения, которые были внесены в эту версию:
- Для базовой оценки добавили новые метрики (UI — взаимодействие с пользователем, PR — требуемые привилегии). 59 Это помогло различать уязвимости, связанные с привилегиями простого пользователя и администратора. 5
- В векторе базовой оценки ввели метрику S (Scope). 5 Она позволяла отличать уязвимости, которые можно сначала внедрить, а потом использовать для атаки на другие части системы или сети. 5
- Метрики Confidentiality, Integrity и Availability в третьей версии имеют другие градации: None, Low и High, вместо None, Partial и Complete. 5
- Метрика Access Complexity была переименована в Attack Complexity, чтобы показать, что требования к правам доступа перенесли в отдельную метрику. 5
- В метрику Access Vector добавили значение Physical (P), чтобы показать, что для использования уязвимости требуется физический доступ к оборудованию. 5
- Полностью изменили все метрики для Environmental Score, чтобы более точно описывать требования к безопасности системы. 5
В июне 2019 года была выпущена версия 3.1. 5 Она не вносила новых изменений в стандарт, а лишь детализировала описание некоторых метрик для лучшего их понимания. 5
