공통 취약성 채점 시스템

Common Vulnerability Scoring System(CVSS)은 컴퓨터 시스템 보안 취약성의 심각도를 평가하기 위한 자유롭고 개방적인 업계 표준입니다.CVSS는 취약성에 중대도 점수를 할당하여 응답자가 위협에 따라 응답 및 리소스에 우선순위를 부여할 수 있도록 합니다.점수는 악용의 용이성과 영향에 가까운 몇 가지 메트릭에 따라 계산됩니다.스코어의 범위는 0 ~10 이며, 10 이 가장 심각합니다.많은 경우 심각도를 결정하기 위해 CVSS Base 점수만 사용하지만, 시간적 및 환경적 점수도 존재하며, 각각 완화 가능성과 조직 내 취약한 시스템의 확산 정도를 고려합니다.

현재 버전의 CVSS(CVSSv3.1)는 2019년 ^[1]6월에 출시되었습니다.

역사

2003/2004년 National Infrastructure Advisory Council(NIAC)의 조사에 의해 2005년 2월에 CVSS 버전 1(CVSSv1)이 출시되었습니다.그 목적은 "소프트웨어 취약성의 개방적이고 보편적으로 표준적인 중대도 등급을 제공하는 것"입니다.이 초안은 다른 조직의 안전 점검이나 검토 대상이 아니었다.2005년 4월, NIAC는 사고 대응 및 보안 팀 포럼(FIRST)을 향후 개발을 ^[2][3]위한 CVSS의 관리인으로 선정하였다.

CVSSv1을 사용한 벤더의 피드백에 따르면 "CVSS의 초기 초안에 중대한 문제가 있다"고 합니다.CVSS 버전 2(CVSSv2)에 대한 작업은 2005년 4월에 시작되었으며,^[4] 최종 사양은 2007년 6월에 시작되었습니다.

추가 피드백은 2012년 CVSS 버전^[5] 3에서 시작하여 2015년 ^[6]6월에 CVSSv3.0이 출시되는 것으로 마무리되었다.

용어.

CVSS 평가는 다음 세 가지 우려 영역을 측정합니다.

1. 취약성에 고유한 품질에 대한 기본 메트릭
2. 취약성의 수명 동안 진화하는 특성에 대한 시간적 측정 기준
3. 특정 구현 또는 환경에 따라 달라지는 취약성에 대한 환경 측정 기준

이러한 메트릭 그룹 각각에 대해 수치 점수가 생성됩니다.벡터 문자열(CVSSv2에서는 단순히 벡터)은 모든 메트릭의 값을 텍스트 블록으로 나타냅니다.

버전 2

CVSSv2에 대한 전체 문서는 ^[7]FIRST에서 구할 수 있습니다. 아래 요약이 제공됩니다.

기본 메트릭

액세스 벡터

액세스 벡터(AV)는 취약성을 부정 이용하는 방법을 나타냅니다.

가치	묘사	스코어
로컬(L)	공격자는 취약한 시스템에 대한 물리적 액세스(예: Firewire 공격) 또는 로컬 계정(예: 권한 상승 공격)이 있어야 합니다.	0.395
인접 네트워크(A)	공격자는 취약한 시스템의 브로드캐스트 또는 충돌 도메인에 액세스할 수 있어야 합니다(예: ARP 스푸핑, Bluetooth 공격).	0.646
네트워크(N)	취약한 인터페이스는 OSI 네트워크 스택의 레이어 3 이상에서 작동합니다.이러한 유형의 취약성은 종종 원격으로 악용할 수 있는 것으로 설명됩니다(네트워크 서비스의 원격 버퍼 오버플로 등).	1.0

접근의 복잡성

Access Complexity(AC; 접근 복잡도) 메트릭은 발견된 취약성을 부정 이용하는 것이 얼마나 쉬운지 또는 어려운지를 나타냅니다.

가치	묘사	스코어
높음(H)	좁은 창을 가진 경주 조건이나 지식이 풍부한 사람들이 쉽게 알아차릴 수 있는 사회공학 방법의 요건과 같은 특수한 조건이 존재한다.	0.35
중간(M)	공격에는 공격 발생원 제한이나 취약한 시스템이 일반적이지 않은 기본 설정으로 실행되어야 하는 요건 등 몇 가지 추가 요건이 있습니다.	0.61
낮음(L)	이 취약성을 부정 이용하는 특별한 조건은 없습니다.예를 들어 시스템을 다수의 사용자가 이용할 수 있는 경우나 취약한 구성이 어디에나 존재하는 경우 등입니다.	0.71

인증

인증(Au) 메트릭은 공격자가 대상을 부정 이용하는 데 필요한 횟수를 나타냅니다.액세스하기 위한 네트워크 인증(예를 들어)은 포함되지 않습니다.로컬에서 공격 가능한 취약성의 경우 초기 액세스 후 추가 인증이 필요한 경우에만 이 값을 단일 또는 다중로 설정해야 합니다.

가치	묘사	스코어
복수(M)	이 취약성을 공격하려면 공격자가 매번 동일한 자격 증명을 사용하더라도 두 번 이상 인증해야 합니다.	0.45
싱글(S)	공격자는 이 취약성을 이용하기 위해 한 번 인증해야 합니다.	0.56
없음(N)	공격자가 인증할 필요는 없습니다.	0.704

영향 지표

기밀성

기밀성(C) 지표는 시스템에서 처리되는 데이터의 기밀성에 미치는 영향을 나타냅니다.

가치	묘사	스코어
없음(N)	시스템의 기밀성에는 영향이 없습니다.	0.0
부분(P)	정보의 상당한 공시는 있지만 손실의 범위가 제한되어 모든 데이터를 이용할 수 있는 것은 아니다.	0.275
완료(C)	시스템상의 모든 데이터에 대한 액세스를 제공하는 완전한 정보 공개가 있습니다.또는 일부 제한된 정보에만 접근할 수 있지만, 공시된 정보는 직접적이고 심각한 영향을 미친다.	0.660

무결성

무결성(I) 메트릭은 악용된 시스템의 무결성에 미치는 영향을 설명합니다.

가치	묘사	스코어
없음(N)	시스템의 무결성에 대한 영향은 없습니다.	0.0
부분(P)	일부 데이터 또는 시스템 파일을 수정할 수 있지만 수정 범위가 제한됩니다.	0.275
완료(C)	완전 무결성이 손실됩니다. 공격자는 대상 시스템의 파일 또는 정보를 수정할 수 있습니다.	0.660

유용성

가용성(A) 메트릭은 대상 시스템의 가용성에 미치는 영향을 설명합니다.네트워크 대역폭, 프로세서사이클, 메모리 또는 기타 자원을 소비하는 공격은 시스템의 가용성에 영향을 미칩니다.

가치	묘사	스코어
없음(N)	시스템의 가용성에 영향은 없습니다.	0.0
부분(P)	퍼포먼스가 저하되거나 일부 기능이 상실됩니다.	0.275
완료(C)	공격받은 자원의 가용성이 완전히 상실됩니다.	0.660

계산

이들 6가지 메트릭은 취약성의 취약성 및 영향 하위 점수를 계산하는 데 사용됩니다.이러한 하위 점수는 전체 기본 점수를 계산하는 데 사용됩니다.

${displaystyle {Exploitability}=20회 {AccessVector}\times {AccessComplexity}\times {AccessComplexity}\times {Authentication}}$

$(\displaystyle {Impact}=10.41회 (1-{\displayf {ConfImpact})\times (1-{IntegImpact})\times (1-{\displayf {AvailImpact}))$

$\displaystyle ff {Impact}=begin{cases}0,&{\text{If}}}{\text{Impact}}{\text{=0}}}\1.1000,&{\text{cases}}}$

$({displaystyle {BaseScore}}={roundTo1Decimal}}((0.6\times {Impact})+(0.4\times {Exploadability}-1.5)\times f4\times {Impact})$

메트릭은 취약성에 대한 CVSS 벡터를 생성하기 위해 연결됩니다.

예

버퍼 오버플로 취약성은 웹 서버 소프트웨어에 영향을 미쳐 리모트 사용자가 시스템을 셧다운하는 기능을 포함하여 시스템을 부분적으로 제어할 수 있게 합니다.

미터법	가치	묘사
액세스 벡터	네트워크	이 취약성은 대상 시스템에 액세스할 수 있는 모든 네트워크(일반적으로 인터넷 전체)에서 액세스할 수 있습니다.
접근의 복잡성	낮다	액세스에 대한 특별한 요건은 없습니다.
인증	없음.	이 취약성을 부정 이용하는 데 인증 요건은 없습니다.
기밀성	부분적	공격자는 시스템의 일부 파일 및 데이터를 읽을 수 있습니다.
무결성	부분적	공격자는 시스템의 일부 파일 및 데이터를 변경할 수 있습니다.
유용성	완성하다	공격자는 시스템을 셧다운하여 시스템 및 웹 서비스를 사용할 수 없거나 응답하지 않을 수 있습니다.

이는 이용가능성 하위점수 10과 영향 하위점수 8.5를 제공하여 전체 기본점수 9.0을 제공한다.이 경우 기본 점수의 벡터는 AV:N/AC:L/Au:N/C가 됩니다.P/I:P/A:C일반적으로 점수 및 벡터는 수신자가 취약성의 특성을 완전히 이해하고 필요에 따라 자신의 환경 점수를 계산할 수 있도록 함께 표시됩니다.

시간 측정 기준

취약성의 수명 동안 시간적 메트릭의 가치는 취약성 개발, 공개 및 자동화 및 완화 및 수정이 가능해짐에 따라 변화한다.

이용 가능성

취약성(E) 메트릭은 공격 기법 또는 자동화된 공격 코드의 현재 상태를 설명합니다.

가치	묘사	스코어
미실증(U)	이용 가능한 공격 코드가 없거나 공격이 이론적인 것입니다.	0.85
개념 실증(P)	개념 증명 악용 코드 또는 데모 공격은 사용할 수 있지만 널리 사용되는 경우에는 실용적이지 않습니다.이 취약성의 일부 인스턴스에 대해서는 기능하지 않습니다.	0.9
기능(F)	기능적 악용 코드를 사용할 수 있으며 취약성이 있는 대부분의 상황에서 작동합니다.	0.95
높음(H)	이 취약성은 모바일 코드(웜이나 바이러스 등)를 포함한 자동화된 코드에 의해 악용될 수 있습니다.	1.0
미정의(ND)	이 점수를 무시하라는 신호입니다.	1.0

복구 수준

취약성의 교정 수준(RL)을 사용하면 완화 및 공식 수정이 제공됨에 따라 취약성의 시간 점수가 감소합니다.

가치	묘사	스코어
공식 수정(O)	패치 또는 업그레이드 중 하나의 완전한 벤더 솔루션을 이용할 수 있습니다.	0.87
임시 수정(T)	공급업체에서 공식적이지만 일시적인 수정/경감을 제공합니다.	0.90
회피책(W)	해당 제품 사용자 또는 다른 서드파티에 의해 개발 또는 제안된 비공식적인 비벤더 솔루션 또는 완화책이 있습니다.	0.95
사용할 수 없음(U)	사용 가능한 솔루션이 없거나 권장 솔루션을 적용할 수 없습니다.이것은 취약성이 식별되었을 때의 일반적인 복구 수준의 초기 상태입니다.	1.0
미정의(ND)	이 점수를 무시하라는 신호입니다.	1.0

보고서 신뢰도

취약성의 보고서 신뢰도(RC)는 취약성의 존재에 대한 신뢰도 수준과 취약성의 기술적 세부 사항의 신뢰성을 측정합니다.

가치	묘사	스코어
미확인(UC)	확인되지 않은 단일 소스 또는 여러 개의 충돌하는 소스.소문난 취약성	0.9
미보레이션(UR)	광범위하게 동의하는 여러 소스 - 취약성에 대한 불확실성 수준이 남아 있을 수 있음	0.95
확인필(C)	해당 제품의 벤더 또는 제조원에 의해 승인 및 확인됨.	1.0
미정의(ND)	이 점수를 무시하라는 신호입니다.	1.0

계산

이 세 가지 지표는 연관된 벡터와 취약성에 대한 시간 점수를 생성하기 위해 이미 계산된 기본 점수와 함께 사용됩니다.

시간 점수 계산에 사용되는 공식은 다음과 같습니다.

${displaystyle {TemporalScore}={roundTo1Decimal}}({\textsf {BaseScore}})\times {Exploitability}\times {Remediation})Level}}\times {ReportConfidence}}:$

예

위의 예를 계속 진행하려면 벤더가 개념 증명 코드를 메일링 리스트에 게시함으로써 취약성에 대해 처음 알게 된 경우 초기 일시 점수는 다음과 같은 값을 사용하여 계산됩니다.

미터법	가치	묘사
이용 가능성	개념 실증	개념 실증, 비자동 코드가 제공되어 기본적인 악용 기능을 보여줍니다.
복구 수준	사용할 수 없음	벤더는 아직 경감이나 수정을 제공할 기회가 없었습니다.
보고서 신뢰도	확인되지 않음	취약성에 대한 단일 보고서가 있습니다.

이것은 E:P/RL:U/RC의 시간 벡터와 함께 7.3의 시간 점수를 줄 것이다.UC(또는 AV:N/AC:L/Au:N/C의 풀 벡터):P/I:P/A:C/E:P/RL:U/RC:UC)

벤더가 취약성을 확인하면 점수는 8.1로 올라가고 E:P/RL:U/RC:C의 시간 벡터가 됩니다.

벤더가 일시적으로 수정하면 점수는 7.3(E:P/RL:T/RC:C)으로 되돌려지지만, 공식 수정에서는 7.0(E:P/RL:O/RC:C)으로 낮아집니다.영향을 받는 모든 시스템이 수정 또는 패치 적용되었다고 확신할 수 없기 때문에 벤더의 조치에 따라 시간 점수가 일정 수준 이하로 떨어질 수 없으며 취약성에 대한 자동 악용이 개발되면 시간 점수가 높아질 수 있습니다.

환경 지표

환경 지표는 기본 및 현재 시간 점수를 사용하여 취약한 제품 또는 소프트웨어가 배포되는 방식으로 취약성의 심각도를 평가합니다.이 척도는 주관적으로 계산되며 일반적으로 영향을 받는 당사자에 의해 계산됩니다.

부수적 피해 가능성

부수적 손상 가능성(CDP) 지표는 장비(및 생명)와 같은 물리적 자산에 대한 잠재적 손실이나 영향 또는 취약성이 악용될 경우 영향을 받는 조직에 대한 재정적 영향을 측정합니다.

가치	묘사	스코어
없음(N)	자산, 수익, 생산성 손실 가능성 없음	0
낮음(L)	자산의 경미한 손상 또는 수익 또는 생산성 경미한 손실	0.1
저중간(LM)	중간 정도의 손상 또는 손실	0.3
중간-높이(MH)	중대한 손상 또는 손실	0.4
높음(H)	치명적인 손상 또는 손실	0.5
미정의(ND)	이 점수를 무시하라는 신호입니다.	0

대상 분포

Target Distribution(TD) 메트릭은 환경에서 취약한 시스템의 비율을 측정합니다.

가치	묘사	스코어
없음(N)	대상 시스템이 없거나 실험실 환경에만 존재합니다.	0
낮음(L)	1~25%의 시스템이 위험에 처해 있다	0.25
중간(M)	26~75%의 시스템이 위험에 처해 있다	0.75
높음(H)	76~100%의 시스템이 위험에 처해 있다	1.0
미정의(ND)	이 점수를 무시하라는 신호입니다.	1.0

임팩트 서브스토어 수정자

또한 3가지 지표는 기밀성(CR), 무결성(IR) 및 가용성(AR)에 대한 특정 보안 요건을 평가하여 환경 점수를 사용자의 환경에 따라 미세 조정할 수 있도록 합니다.

가치	묘사	스코어
낮음(L)	(기밀성/정합성/가용성)의 손실은 조직에 제한적인 영향만 미칠 가능성이 높습니다.	0.5
중간(M)	(기밀성/정합성/가용성)의 손실은 조직에 심각한 영향을 미칠 수 있습니다.	1.0
높음(H)	(기밀성/정합성/가용성)의 손실은 조직에 치명적인 영향을 미칠 수 있습니다.	1.51
미정의(ND)	이 점수를 무시하라는 신호입니다.	1.0

계산

5가지 환경 지표는 환경 점수를 계산하고 관련 환경 벡터를 생성하기 위해 이전에 평가된 기준 및 시간 지표와 함께 사용된다.

$\displaystyle {AdjustedImpact}=\min(10,10.41\timplef {ConfImpact}\timple(1-{ConfImpact})\timple(1-{\timplef {IntegImpact}})\timple(1-{f})$

$\displaystyle \textsf {조정 완료\textsfTemporal}}=timetextsf {TemporalScore}{\text{BaseScore}}{\text{s}}{\text{Impact}}{\text{s}}}{\text{s}}}{\text{text}}}로 대체되었습니다.$

$({displaystyle {Environment Score}}={roundTo1Decimal}})({\textsf {Adjusted})Temporal}+(10-{\textsf {조정 완료})Temporal})\times {CollateralDamagePotential}\times {TargetDistribution}}.$

예

앞서 언급한 취약한 웹 서버가 은행이 온라인 뱅킹 서비스를 제공하기 위해 사용되고 공급업체에서 임시 수정 프로그램을 사용할 수 있는 경우 환경 점수는 다음과 같이 평가될 수 있습니다.

미터법	가치	묘사
부수적 피해 가능성	중간-높이	이 값은 취약한 시스템이 악용될 경우 공격자가 액세스할 수 있는 정보에 따라 달라집니다.이 경우, 개인 은행 정보를 입수할 수 있기 때문에, 평판에 큰 영향이 있다고 생각합니다.
대상 분포	높은	은행의 모든 웹 서버는 취약한 소프트웨어를 실행합니다.
기밀 유지 요건	높은	고객은 자신의 은행 정보가 기밀로 유지되기를 기대합니다.
무결성 요건	높은	금융정보 및 개인정보는 허가 없이 변경할 수 없습니다.
가용성 요건	낮다	온라인 뱅킹 서비스를 이용할 수 없는 것은 고객에게 불편이 될 가능성이 높지만 재앙은 아닙니다.

이 경우 환경 점수는 8.2이고 CDP의 환경 벡터는 다음과 같습니다.MH/TD:H/CR:H/IR:H/AR:L.이 점수는 7.0~10.0 범위 내에 있으므로 영향을 받는 은행의 업무상 중대한 취약성이 됩니다.

버전 2에 대한 비판

몇몇 벤더와 조직은 CVSSv2에 대해 불만을 표시했습니다.

오픈 소스 취약성 데이터베이스를 관리하는 리스크 기반 보안과 오픈 보안 재단은 공동으로 CVSSv2의 ^[8]단점과 장애에 관한 FIRST에 대한 공개 서한을 발행했습니다.저자들은 CVSS 벡터와 점수가 서로 다른 유형 및 위험 프로파일의 취약성을 제대로 구분하지 못하는 결과를 초래하는 여러 지표의 세분성 부족을 들었다.또한 CVSS 점수 시스템은 취약성의 정확한 영향에 대한 너무 많은 지식을 필요로 하는 것으로 지적되었다.

Oracle은 공식 CVSS ^[9]사양에서 Partial과 Complete 사이의 기술 간 인식된 차이를 메우기 위해 기밀성, 무결성 및 가용성에 대한 "Partial+"라는 새로운 메트릭 값을 도입했습니다.

버전 3

이러한 비판의 일부를 해결하기 위해 CVSS 버전 3의 개발이 2012년에 시작되었다.최종 사양은 CVSS v3.0으로 명명되었으며 2015년 6월에 공개되었습니다.사양서 문서와 더불어 사용자 가이드 및 샘플 문서도 ^[10]공개되었습니다.

여러 메트릭이 변경, 추가 및 제거되었습니다.수치 공식은 0-10의 기존 점수 범위를 유지하면서 새로운 지표를 통합하기 위해 업데이트되었다.텍스트 중대도 등급은 None(0), Low(0.1-3.9), Medium(4.0-6.9), High(7.0-8.9) 및 Critical(9.0-10.0)^[11]로 정의되어 있습니다.이것은,^[12] 표준의 일부가 아닌 CVSS v2에 정의되어 있는 NVD의 카테고리와 유사합니다.

버전 2로부터의 변경

기본 메트릭

기본 벡터에 새로운 메트릭 User Interaction(UI; 사용자 상호 작용) 및 Privileges Required(PR; 권한 필요)가 추가되어 사용자 상호 작용 또는 사용자 또는 관리자 권한을 이용해야 하는 취약성을 식별할 수 있게 되었습니다.이전에는 이러한 개념은 CVSSv2의 액세스 벡터 메트릭의 일부였습니다.베이스 벡터에서는 시스템 또는 네트워크의 다른 부분을 공격하기 위해 악용될 수 있는 취약성을 명확히 하기 위해 설계된 새로운 스코프(S) 메트릭도 도입되었습니다.이러한 새로운 메트릭을 통해 기본 벡터는 평가되는 취약성의 유형을 보다 명확하게 나타낼 수 있습니다.

CVSSv2의 None, Partial, Complete가 아닌 None, Low 또는 High로 구성된 점수가 되도록 기밀성, 무결성 및 가용성(C, I, A) 지표가 업데이트되었습니다.이를 통해 취약성이 CIA 메트릭에 미치는 영향을 보다 유연하게 결정할 수 있습니다.

액세스 권한이 다른 메트릭으로 이동되었음을 명확히 하기 위해 Access Complexity는 Attack Complexity(AC; 공격 복잡도)로 이름이 변경되었습니다.이 메트릭은 이 취약성의 부정 이용 가능성을 나타냅니다.공격자가 완벽한 타이밍이나 다른 상황(다른 메트릭이기도 한 다른 상황)을 필요로 하는 경우 AC는 높음입니다.이러한 상황은, 장래의 시도에서도 간단하게 복제되지 않을 가능성이 있습니다.

Attack Vector(AV)에서는 물리(P)라는 새로운 메트릭 값이 추가되어 디바이스 또는 시스템에 물리적으로 액세스해야 하는 취약성을 설명했습니다.

시간 측정 기준

시간 측정 기준은 CVSSv2에서 근본적으로 변경되지 않았다.

환경 지표

CVSSv2의 환경 지표는 완전히 제거되었고 수정 벡터라고 알려진 두 번째 기본 점수로 대체되었다.Modified Base는 조직 또는 기업 내에서의 세계 전체와의 차이를 반영하기 위한 것입니다.특정 환경에 대한 기밀성, 무결성 및 가용성의 중요성을 파악하기 위한 새로운 지표가 추가되었습니다.

버전 3에 대한 비판

CERT 조정 센터는 2015년 9월 블로그 투고에서 사물 ^[13]인터넷과 같은 새로운 기술 시스템의 점수 취약성에 대한 CVSSv2 및 CVSSv3.0의 제한에 대해 논의했다.

버전 3.1

CVSS의 마이너 업데이트는 2019년 6월 17일에 출시되었습니다.CVSS 버전 3.1의 목표는 새로운 측정 기준이나 측정 기준 값을 도입하지 않고 기존 CVSS 버전 3.0 표준을 명확히 하고 개선하는 것이었다. 따라서 점수 부여 제공자와 점수 부여 소비자 모두 마찰 없이 새로운 표준을 채택할 수 있었다.CVSS 표준을 개선할 때 가장 중요한 고려사항은 가용성이었다.CVSS v3.1에서는 CVSS v3.0에서 도입된 개념의 명확성을 향상시키고 이에 따라 표준의 전반적인 사용 편의성을 향상하는 몇 가지 변경이 이루어지고 있다.

FIRST는 업계 주제 전문가의 의견을 활용하여 CVSS를 지속적으로 강화하고 개선하여 과거 15년 이상 개발 중인 취약성, 제품 및 플랫폼에 더욱 더 적용할 수 있도록 하고 있습니다.CVSS의 주요 목표는 많은 다른 구성 요소에서 취약성의 심각도를 채점하는 결정적이고 반복 가능한 방법을 제공하는 것이다. CVSS의 소비자는 이 점수를 자신의 특정 환경과 위험 허용도에 특정한 위험, 교정 및 완화의 더 큰 의사결정 매트릭스에 대한 입력으로 사용할 수 있다.

CVSS 버전 3.1 사양 업데이트에는 정의의 명확화와 공격 벡터, 필요한 권한, 범위 및 보안 요건 등의 기존 기본 메트릭의 설명이 포함됩니다.CVSS 확장 프레임워크라고 불리는 새로운 표준 CVSS 확장 방법도 정의되어 점수 제공자가 공식 기준, 시간 및 환경 메트릭을 유지하면서 추가 메트릭과 메트릭 그룹을 포함할 수 있게 되었다.추가 메트릭을 통해 개인 정보 보호, 안전, 자동차, 의료 등과 같은 산업 부문이 핵심 CVSS 표준을 벗어나는 요소를 채점할 수 있습니다.마지막으로 CVSS 용어집은 CVSS 버전 3.1 문서 전체에서 사용되는 모든 용어를 포함하도록 확장 및 수정되었습니다.

도입

CVSS 버전은 다음과 같은 광범위한 조직과 기업에서 취약성의 심각도를 수량화하기 위한 주요 방법으로 채택되어 왔다.

• National Vulnerability Database(NVD)^[14]
• 오픈 소스 취약성 데이터베이스(OSVDB)^[15]
• CERT 조정 센터,^[16] 특히 CVSSv2 기반, 시간 및 환경 측정 기준을 사용합니다.

「 」를 참조해 주세요.

• 공통 취약점 열거(CWE)
• 일반 취약성 및 노출(CVE)
• Common Attack Pattern Enumeration and Classification(CAPEC; 공통 공격 패턴 열거 및 분류)

레퍼런스

외부 링크

• 사고대응 및 보안팀 포럼(FIRST) CVSS 사이트
• National Vulnerability Database(NVD) CVSS 사이트
• 공통 취약성 점수 시스템 v2 계산기