CVSS v4.0 正式リリース されました!
2023/11/01、「FIRST」(Forum of Incident Response and Security Teams)が、共通脆弱性評価システム(CVSS)v4.0を正式にリリースしました。
メジャーアップデートは、CVSS v3.0が公開された2015年以来8年ぶりです。
CVSSは、今後も脆弱性の影響度を図る指標となりますので、
この機会に、目を通していただければ幸いです。
V3.1からの変更点
V3.1からの変更点は多々ありますが、
大きなところではCVSSスコアの命名法が変わりました。
CVSS-B:基本メトリクスのみ
CVSS-BE:基本メトリクス+環境メトリクス
CVSS-BT:基本メトリクス+脅威メトリクス
CVSS-BTE:基本メトリクス+環境メトリクス+脅威メトリクス
残念ながら「緊急度が高い脆弱性が多すぎる問題」は、解消されません。。(FAQで回答あり)
Announcing CVSS v4.0 翻訳 紹介
脆弱性対応勉強会の井上さんが、
Announcing CVSS v4.0の翻訳を公開されています。(ありがたい)
FIRSTCON23の"Announcing CVSS v4.0"を、勝手に意訳しました。CVSS v4.0を検討していた方がどう考えているのか、がなんとなくわかる内容です。v3と何が違うの?(何を問題視していて、何が改善/追加されてるの)が分かると思います。
参考文献
Common Vulnerability Scoring System
vulnRespStudyGroup/document/announcingCVSSv40 at master · hogehuga/vulnRespStudyGroup · GitHub
https://github.com/hogehuga/vulnRespStudyGroup/blob/master/document/announcingCVSSv40/AnnouncingCVSSv40.pdf
【要点抽出】CVSS v4.0 - 2LoD.sec
CVSSバージョン4.0の変更点と活用可能性 | PwC Japanグループ
この記事が気に入ったらサポートをしてみませんか?