Zum Inhalt springen

CVSS

aus Wikipedia, der freien Enzyklopädie
Dies ist die aktuelle Version dieser Seite, zuletzt bearbeitet am 19. September 2024 um 15:16 Uhr durch imported>Predatorix (Logo eingefügt).
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Datei:CVSS 4.0-complete-signature-RGB.svg
CVSS-Logo

Das Common Vulnerability Scoring System (CVSS, deutsch: „Allgemeines Bewertungssystem für Schwachstellen“) ist ein Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen. Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten Metriken (engl. metrics), bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann. CVSS ist selbst kein System zur Warnung vor Sicherheitslücken, sondern ein Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen.<ref name="faq"><templatestyles src="Webarchiv/styles.css" />Archivlink (Memento vom 8. März 2011 im Internet Archive)</ref> Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht uneingeschränkt erreicht, da weiterhin identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden.<ref>CVSS rating for Meltdown and Spectre. 8. Januar 2018 (isc2.org [abgerufen am 16. Mai 2018]).</ref><ref>CVE-2017-5753 | SUSE. Abgerufen am 16. Mai 2018.</ref><ref>CVE-2017-5753 - Red Hat Customer Portal. Abgerufen am 16. Mai 2018 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref><ref>Multiple Intel CPU's information disclosure CVE-2017-5753 Vulnerability Report. Abgerufen am 16. Mai 2018.</ref><ref>NVD - CVE-2017-5753. Abgerufen am 16. Mai 2018.</ref>

CVSS wurde 2005 vom National Infrastructure Advisory Council (NIAC), einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit, in Auftrag gegeben<ref name="faq" /> und wird derzeit durch das Forum of Incident Response and Security Teams betreut.<ref name=":0">Common Vulnerability Scoring System SIG. Abgerufen am 18. Juli 2024 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref> Den derzeitigen Vorsitz der Arbeitsgruppe CVSS-SIG team haben Dave Dugal und Dale Rich.<ref name=":0" /> In die Entwicklung von CVSS sind eingebunden: CERT, Cisco, DHS/MITRE, eBay, IBM, Microsoft, Qualys, Symantec.<ref name="faq" /> CVSS wird ferner unterstützt von HP, McAfee, Oracle, und Skype.<ref><templatestyles src="Webarchiv/styles.css" />Archivlink (Memento vom 25. März 2011 im Internet Archive)</ref>

Im Juni 2007 wurde die zweite Version des Scoring Systems veröffentlicht. Mit CVSS v3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metriken die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte.<ref>FIRST announces availability of new Common Vulnerability Scoring System (CVSS) release. Abgerufen am 18. Juli 2024 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref> Im November 2023 wurde die Version 4.0 des Standards publiziert. Neben einer feineren Aufteilung der grundlegenden Metriken führt diese Version auch eine Reihe von "Ergänzungs-Metriken" ein. Diese sollen zuvor nicht berücksichtigte Faktoren in die Schwachstellenbewertung einbeziehen und den Standard erstmals auch auf Schwachstellen in industriellen Anlagen und dem Internet der Dinge anwendbar machen.<ref>FIRST has officially published the latest version of the Common Vulnerability Scoring System (CVSS v4.0). Abgerufen am 18. Juli 2024 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref>

Siehe auch

Weblinks

Quellen

<references />

Abgerufen von „https://wiki-de.moshellshocker.dns64.de/index.php?title=CVSS&oldid=2213112