當前位置：首頁 > news >正文

網站建設網站軟文范文

news 2025/7/1 18:02:21

網站建設網站,軟文范文,wordpress分享到朋友圈,百度推廣賬號申請在文章CVSS4與CVSS3的不同-CSDN博客中描述了CVSS3的缺點，以及CVSS4相對CVSS3做了哪些改進和帶來了哪些優(yōu)點。但是具體CVSS4針對CVSS3做了哪些改動，還沒有詳細列舉出來。本文主要是針對CVSS4和CVSS的打分的大項和小項進行逐一對比，列出來具體…

在文章CVSS4與CVSS3的不同-CSDN博客中描述了CVSS3的缺點，以及CVSS4相對CVSS3做了哪些改進和帶來了哪些優(yōu)點。但是具體CVSS4針對CVSS3做了哪些改動，還沒有詳細列舉出來。本文主要是針對CVSS4和CVSS的打分的大項和小項進行逐一對比，列出來具體增加和刪除了哪些項目。

表格中顏色的說明：

紅色：新增加的項目

黃色：修改的項目

藍色：刪除的項目

白色：沒有更改的項目

分類項	小分類	CSS3	CVSS4	描述
Base Metrics
	User Interaction (UI)	None Required	None Active Passive	細分為Active和Passive，可以提高打分的準確性。
	Attack Requirement	NA	None/Present	新增加的分類，主要是描述攻擊之前環(huán)境是否需要某種方式的配置和部署。有些CVE是依賴環(huán)境的配置項，如果沒有配置，就不會對環(huán)境造成威脅。
	Scope	Unchanged/Changed	N/A	此項刪除了。關于可能影響的Scope可以參考后面的Vulnerable System和Subsequent System。
	Confidentiality Impact (C)	Confidentiality Impact (C)	Vulnerable System Confidentiality (VC)
	Confidentiality Impact (C)	Confidentiality Impact (C)	Subsequent System Confidentiality(SC)
	Integrity Impact (I)	Integrity Impact (I)	Vulnerable System Integrity (VI)
	Integrity Impact (I)	Integrity Impact (I)	Subsequent System Integrity(SI)
	Availability Impact (A)	Availability Impact (A)	Vulnerable System? Availability(VA)
	Availability Impact (A)	Availability Impact (A)	Subsequent System Availability (SA)

Temporal Score Metrics 改為 Threat Metrics
	Exploit Code Maturity (E)	Unproven that exploit exists Proof of concept code Functional exploit exists High	Attack POC Unreported	簡化了選線，更加易懂和操作。
	Remediation Level (RL)			此項刪除了。?
	Report Confidence (RC)			此項刪除了。?

Environmental Score Metrics 改為 Environmental (Modified Base Metrics)
	User Interaction (MUI)	None Required	None Active Passive
Impact Metrics 改為 Vulnerable System Impact Metrics
	Confidentiality	High/Medium/Low	High/Medium/Low
	Integrity	High/Medium/Low	High/Medium/Low
	Availability?	High/Medium/Low	High/Medium/Low
Impact Subscore Modifiers 改為Subsequent System Impact Metrics
	Confidentiality	High/Medium/Low	High/Medium/Low
	Integrity	High/Medium/Low	Saftey/High/Medium/Low	增加了Saftey選線
	Availability?	High/Medium/Low	Saftey/High/Medium/Low

Environmental (Security Requirements)?
	Confidentiality Requirements	NA	High/Medium/Low
	Integrity Requirements	NA	High/Medium/Low
	Availability Requirements	NA	High/Medium/Low

Supplemental Metrics
	Safety (S)	NA	Negligible/Present	攻擊是否會影響組織的安全？
	Automatable (AU)	NA	No/Yes	攻擊者是否可以自動化攻擊？
	Recovery (R)	NA	Automatic/User/Irrcoverable	系統(tǒng)或者組件是否可以在攻擊者攻擊之后自動恢復？
	Value Density (V)	NA	Diffuse/Concentrated	攻擊者一次攻擊可以控制哪些資源？
	Vulnerability Response Effort (RE)	NA	Low/Medium/High	需要花費多少努力應對攻擊？
	Provider Urgency (U)	NA	Clear/Green/Amber/Red	廠商如何評價此漏洞的級別？

使用了CVSS4之后，會導致一些漏洞的嚴重級別降低。例如：User Interaction ，從原來的Required改為Active和Passive，經過細化之后，CVSS3只要是需要用戶參與不管主動和被動，都會統(tǒng)一，CVSS4經過細分之后，Passive的就會比Active的分數降低，也導致CVE的級別降低。

CVSS4另外一個重大的變化就是增加了環(huán)境的因素并且細分和補充選項，使CVSS考慮的更全面，適用的范圍也進行了擴展，使用時也更加靈活，可以滿足不同行業(yè)的需求。

NVD - CVSS v4 Calculator

NVD - CVSS v3 Calculator

查看全文

http://www.risenshineclean.com/news/30361.html