Опубликована вторая версия системы ранжирования рисков Common Vulnerability Scoring System

Группой Forum of Incident Response and Security Teams ( FIRST )  была опубликована вторая версия системы ранжирования риска, связанного с уязвимостями, Common Vulnerability Scoring System ( CVSS ) . Система CVSS предполагает разбиение характеристик уязвимости на три группы: базовые, временные и связанные со средой. Для каждой из групп определен четкий набор параметров, имеющих предопределенный набор возможных значений. В результате применения методики для каждой из групп получается число в диапазоне от нуля до десяти.

Лежащая в основе CVSS методика  позволяет оценить информацию о существующих уязвимостях в информационных системах на основании различных критериев. Использование доступного математического аппарата дает возможность адаптировать методику под конкретные нужды.

Во второй версии изменились возможные значения некоторых параметров, а также добавились новые переменные при расчете Environmental Metrics.

В Base Score параметр Access Vector может принимать три значения: Local (L), Adjacent Network (A), Network (N). Спектр возможной сложности доступа (Access Complexity) также расширен: High (H), Med (M), Low (L). Возможные значения аутентификации (Authentication) теперь включают Multiple (M), Single (S) и None (N).

Также в Environmental Metrics добавился параметр Security Requirements определяющий требования по безопасности для конфиденциальности, целостности и доступности.

В настоящий момент далеко не все производители используют CVSS для оценки риска уязвимостей в своих продуктах. Однако простота применения позволяет на основе общедоступной информации (например, уведомлений от производителя) рассчитать необходимые значения. На данный момент оценку уязвимости согласно CVSS содержит база данных National Vulnerability Database . Дополнительным достоинством является тот факт, что CVSS является полностью открытым стандартом.

Постепенно производители переходят на использование CVSS. Так, в настоящий момент эта система используется компаниями Oracle , а также применяется сканером уязвимостей XSPider 7.5   компании Positive Technologies для ранжирования обнаруженных «дыр».