مرجع کلمات و اصطلاحات اختصاری

سیستم امتیازدهی آسیب پذیری عام یا CVSS یک استاندارد آزاد و صنعتی برای ارزیابی و تعیین شدت یک آسیب پذیری کامپیوتری است. این سیستم سعی می‌کند با اختصاص دادن یک امتیاز به میزان شدت آسیب پذیریها، به پاسخ دهندگان این امکان را بدهد که بتوانند برای رفع آسیب پذیری مورد نظر اولویت بندی کرده و منابع مورد نیاز را به آن اختصاص بدهند. این امتیازدهی به وسیله فرمولی محاسبه می‌شود که دارای چند معیار است، که سعی دارد سهولت اکسپلویت کردن و همچنین اثرات اکسپلویت آن آسیب پذیری را مشخص کند. امتیازها در بازه ۰ تا ۱۰ قرار دارند، که در آن ۱۰ به شدیدترین تهدید اشاره دارد. درحالی که اغلب به امتیاز پایهٔ CVSS برای تعیین میزان شدت آسیب پذیری رجوع می‌کنند، امتیازهای زمانی و مکانی نیز وجود دارند که به ترتیب به دنبال تعیین دسترس پذیر بودن راه مقابله با تهدید و همچنین میزان گستردگی آسیب پذیری سیستمها در یک سازمان هستند.

آخرین نسخه CVSS نسخه CVSSv3 است که در ژوئن ۲۰۱۵ منتشر شد.

در خلال سالهای ۲۰۰۳/۲۰۰۴ طی تحقیقاتی که توسط انجمن مشورتی زیرساخت ملی (NIAC) با هدف ایجاد یک سیستم استاندارد و آزاد صنعتی برای تعیین شدت آسیب پذیریهای کامپیوتری صورت پذیرفت، سرانجام منجر به ایجاد CVSS نسخه ۱ (CVSSv1) در فوریه ۲۰۰۵ شد. این پیش‌نویس(نسخه) اولیه هرگز مشروط بر بازنگری توسط سایر سازمانها نبود. در آوریل ۲۰۰۵ سازمان NIAC، انجمن پاسخ به حادثه و تیم امنیتی (FIRST) را متولی توسعه‌ی CVSS در آینده انتخاب کرد.

پس از دریافت بازخورد که از طرف تولیدکنندگانی که از CVSSv1 در محصولات خود استفاده میکردند، مشخص شد که "مشکلات قابل توجهی در پیش نویس اولیه CVSS" وجود دارد. کار بر روی CVSS نسخه دوم (CVSSv2) از آوریل ۲۰۰۵ آغاز شد و کار بر روی مشخصات فنی نهایی آن از ژوئن ۲۰۰۷ آغاز شد.

پس از دریافت بازخوردهای بیشتر در سال ۲۰۱۲ کار بر روی CVSS نسخه سوم (CVSSv3) آغاز شد، که در نهایت این نسخه در ژوئن ۲۰۱۵ با نام CVSSv3.0 منتشر شد.

ارسال نظر