A Forum of Incident Response and Security Teams (FIRST) bejelentette a sérülékenységek kockázati besorolásának meghatározására szolgáló legismertebb szabvány, a CVSS (Common Vulnerability Scoring System) következő, negyedik generációját.
A FIRST szerint a CVSS 4.0 legújabb verziója nagyobb pontosságot kínál a sebezhetőség értékeléséhez mind az iparág, mind a nyilvánosság számára.
A CVSS lehetővé teszi a biztonsági sebezhetőségek súlyosságának értékelését a főbb technikai jellemzők (metrikák) alapján. A sérülékenységekhez rendelt pontszám a szervezetek számára segítséget nyújt a sebezhetőségek kockázatainak felméréséhez.
A korábbi ─ 2019 júliusában kiadott ─ CVSS v3.1 frissítés egyik alapvetése az volt, hogy “a CVSS a sebezhetőség súlyosságának mérésére lett tervezve, és nem szabad egyedül használni a kockázat értékeléséhez“. A CVSS v3.1 több kritikát kapott a pontozási skála finomsága, valamint az egészségügy, az emberi biztonság és az ipari vezérlőrendszerek nem megfelelő megjelenítése miatt.
A legújabb szabvány célja néhány ilyen hiányosság orvoslása azzal, hogy számos kiegészítő metrikát nyújt a sebezhetőség értékeléséhez, például: Safety (S), Automatable (A), Recovery (R), Value Density (V), Vulnerability Response Effort (RE), és Provider Urgency (U).
Az új változat bevezet új elnevezést is a CVSS pontszámok felsorolásához, a Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE), és Base + Threat + Environmental (CVSS-BTE) súlyossági besorolások kombinációjával.
A FIRST szerint az elképzelés célja, hogy “megerősítse azt a koncepciót, hogy a CVSS nem csak a Bázis pontszám”, hozzátéve, hogy “ezt a elnevezést mindenhol használni kell, ahol numerikus CVSS értéket jelenítenek meg vagy közölnek”. A CVSS Bázis Pontszámot környezeti elemzéssel (Környezeti Metrikák) és olyan attribútumokkal kell kiegészíteni, amelyek idővel változhatnak (Fenyegetés Metrikák).
