Cvss v2 complete documentation

article/2025/10/22 3:51:59

通用漏洞计分系统（CVSS）为沟通IT漏洞的特征和影响提供了一个开放的框架。

CVSS由3组组成：基础，时间和环境。

每个组产生的范围从0到10的数字分数，以及Vector，一个反映用于得出分数的值的压缩文本表示。

基础组代表了一个漏洞的内在特征。
时间组反映了随时间变化的漏洞的特征。
环境组代表了任何用户环境特有的漏洞特征。
CVSS使IT经理，漏洞公告提供商，安全供应商，应用程序供应商和研究人员都能通过采用这种通用语言评估IT漏洞来获益。

Introduction
目前，IT管理层必须在许多不同的硬件和软件平台中识别和评估漏洞。他们需要优先考虑这些漏洞，并修复那些构成最大风险的漏洞。但是，如果有这么多的问题需要解决，每个人都会使用不同的规模进行评分[2] [3] [4]，IT经理如何将这个山区的漏洞数据转化成可操作的信息？常见漏洞评分系统（CVSS）是一个解决这个问题的开放式框架。它提供以下好处：

标准化漏洞评分：当组织在所有软件和硬件平台上规范化漏洞分数时，可以利用单一的漏洞管理策略。该策略可能类似于服务级别协议（SLA），其中说明必须验证和修复特定漏洞的速度。

开放式框架：当漏洞被分配任意分数时，用户可能会感到困惑。 “哪个属性给了这个分数？与昨天发布的那个有什么不同？有了CVSS，任何人都可以看到用于得出分数的个人特征。

优先风险：计算环境分数时，漏洞现在变为语境。也就是说，漏洞分数现在代表组织的实际风险。用户知道给定的漏洞与其他漏洞相关的重要性。

1.1. What is CVSS?

CVSS由三个度量组成：基本，时间和环境，每个组由一组度量组成，如图1所示

Figure 1: CVSS Metric Groups
Base：表示随着时间和用户环境而不断变化的漏洞的内在和基本特征。基本度量在2.1节中讨论。

时间：表示随时间而不是在用户环境中变化的漏洞的特征。时间度量在2.2节中讨论。

环境：表示特定用户环境相关和独特的漏洞的特征。第2.3节讨论了环境指标。

CVSS基础组的目的是定义和传达漏洞的基本特征。表征漏洞的这种客观方法为用户提供了一个清晰直观的漏洞表示。然后，用户可以调用时间和环境组，以提供更准确地反映其独特环境的风险的上下文信息。这样做可以让他们做出更明智的决策，试图减轻漏洞所带来的风险。

1.2. Other vulnerability scoring systems

还有一些由商业和非商业组织管理的其他漏洞“评分”系统。他们每个人都有自己的优点，但是他们所测量的不一样。例如，CERT / CC产生的数值分数范围从0到180，但考虑到互联网基础架构是否处于风险中，以及需要什么样的先决条件来利用漏洞[3]。 SANS漏洞分析规模考虑了在默认配置或客户端或服务器系统中是否存在弱点[4]。 Microsoft的专有评分系统试图反映利用的难度和脆弱性的整体影响[2]。虽然这些评分系统很有用，但是通过假设每个个体和组织对一个漏洞的影响是不变的，这些评分系统提供了一刀切的方法。

CVSS can also be described by what it is not. That is, it is none of the following:

一个威胁评级系统，例如美国国土安全部和西南互联网风暴中心所使用的威胁评估系统。[1] 这些服务为危及美国和全球IT网络的威胁提供了一个咨询预警系统。

一个漏洞数据库，如国家漏洞数据库（NVD），开源漏洞数据库（OSVDB）或Bugtraq。这些数据库提供了丰富的已知漏洞和漏洞详细信息目录。

一个漏洞识别系统，如行业标准的常见漏洞和暴露（CVE）或弱点词典，如普通弱点枚举（CWE）。这些框架旨在根据原因“独特地识别和分类漏洞”，因为它们体现在代码，设计或架构中。 [2]

1.3. How does CVSS work?
当基本度量被分配值时，基本方程式计算范围从0到10的分数，并创建一个向量，如下图2所示。该向量有助于框架的“开放”性质。它是一个文本字符串，其中包含分配给每个度量的值，它用于准确地传达每个漏洞得分的方式。因此，矢量应始终显示与漏洞得分。第2.4节进一步说明了载体。