Common Vulnerability Scoring System (CVSS) adalah sebuah framework untuk menilai tingkat keparahan kerentanan keamanan dalam perangkat lunak. Dioperasikan oleh Forum of Incident Response and Security Teams (FIRST), CVSS menggunakan algoritma untuk menentukan tiga peringkat rating keparahan: Base, Temporal dan Environmental. Skornya menggunakan numerik; berkisar dari 0.0 hingga 10.0, skor 10.0 adalah yang paling parah.
Base score adalah metrik yang paling diandalkan oleh perusahaan dan berhubungan dengan kualitas inheren dari suatu vulnerability. Skor Temporal mewakili kualitas kerentanan yang berubah seiring waktu, dan skor Environmental smewakili kualitas kerentanan yang khusus untuk lingkungan yang terpengaruh.
Menurut versi terbaru dari CVSS, v3.0, penilaian vulnerability sebagai berikut :
- Skor 0.0 menerima peringkat “None“.
- Skor 0.1-3.9 menerima peringkat “Low“.
- Skor 4.0-6.9 menerima peringkat “Medium“.
- Skor 7.0-8.9 menerima peringkat “High“.
- Skor 9.0 – 10.0 menerima peringkat “Critical“.
CVSS memungkinkan organisasi untuk memprioritaskan kerentanan mana yang harus diperbaiki terlebih dahulu dan mengukur dampak dari kerentanan pada sistem mereka.
Banyak organisasi menggunakan CVSS, dan National Vulnerability Database untuk memberikan skor terhadap kerentanan yang paling sering ditemui. Menurut NVD, skor dasar CVSS dari 0.0-3.9 dianggap keparahan “Rendah”; skor dasar CVSS 4.0-6.9 adalah tingkat keparahan “Sedang”; sedangkan skor dasar 7,0-10,0 adalah tingkat keparahan “Tinggi”.
CVSS diperkenalkan pada 2005 oleh National Infrastructure Advisory Council (NIAC), yang menyerahkan manajemen dan pengembangan standar ke FIRST. Versi saat ini, CVSS 3.0, diperkenalkan pada bulan Juni 2015. Sebagai standar yang bebas dan terbuka, beberapa vendor seperti Oracle telah menyesuaikan versi mereka sendiri dari CVSS.
0 komentar:
Posting Komentar