कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम: Difference between revisions

From Vigyanwiki
No edit summary
Line 1: Line 1:
{{Short description|Standard for assessing computer system vulnerabilities}}सामान्य भेद्यता स्कोरिंग  प्रणाली (सीवीएसएस) [[कंप्यूटर सुरक्षा]] [[भेद्यता (कंप्यूटिंग)]] की गंभीरता का आकलन करने के लिए स्वतंत्र और [[खुला मानक|विवृत]] [[तकनीकी मानक|उद्योग मानक]] है। सीवीएसएस कमजोरियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई [[सॉफ्टवेयर मीट्रिक]] पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिएएन्यूनात्र सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और संगठन के भीतर व्यापक रूप से कमजोर प्रणाली क्रमशः उपस्थित हैं।
{{Short description|Standard for assessing computer system vulnerabilities}}सामान्य भेद्यता स्कोरिंग  प्रणाली (सीवीएसएस) [[कंप्यूटर सुरक्षा]] [[भेद्यता (कंप्यूटिंग)]] की गंभीरता का आकलन करने के लिए स्वतंत्र और [[खुला मानक|विवृत]] [[तकनीकी मानक|उद्योग मानक]] है। सीवीएसएस शक्तिहीनियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई [[सॉफ्टवेयर मीट्रिक]] पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिएएन्यूनात्र सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और संगठन के भीतर व्यापक रूप से शक्तिहीन प्रणाली क्रमशः उपस्थित हैं।


सीवीएसएस (सीवीएसएसवी3.1) का वर्तमान संस्करण जून 2019 में निरंतर किया गया था।<ref name="cvss3.1">{{cite web |url=https://www.first.org/cvss |title=Common Vulnerability Scoring System, V3 Development Update |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=November 13, 2015}}</ref>
सीवीएसएस (सीवीएसएसवी3.1) का वर्तमान संस्करण जून 2019 में निरंतर किया गया था।<ref name="cvss3.1">{{cite web |url=https://www.first.org/cvss |title=Common Vulnerability Scoring System, V3 Development Update |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=November 13, 2015}}</ref>
Line 27: Line 27:
2. भेद्यता के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स
2. भेद्यता के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स


3. कमजोरियों के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं।
3. शक्तिहीनियों के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं।


इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।
इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।
Line 43: Line 43:
! महत्व !! विवरण !! अंक
! महत्व !! विवरण !! अंक
|-
|-
| स्थानीय (एल)|| आक्रमणकारी के निकट या तो कमजोर प्रणाली (जैसे फायरवायर आघात) या  स्थानीय खाते (जैसे  विशेषाधिकार वृद्धि आघात) तक भौतिक पहुंच होनी चाहिए।||0.395
| स्थानीय (एल)|| आक्रमणकारी के निकट या तो शक्तिहीन प्रणाली (जैसे फायरवायर आघात) या  स्थानीय खाते (जैसे  विशेषाधिकार वृद्धि आघात) तक भौतिक पहुंच होनी चाहिए।||0.395
|-
|-
| आसन्न नेटवर्क (ए)|| आक्रमणकारी के निकट कमजोर प्रणाली के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ आघात)।||0.646
| आसन्न नेटवर्क (ए)|| आक्रमणकारी के निकट शक्तिहीन प्रणाली के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ आघात)।||0.646
|-
|-
| नेटवर्क (एन)||असुरक्षित इंटरफ़ेस ओएसआई नेटवर्क स्टैक की परत 3 या उससे ऊपर पर कार्यकर रहा है। इस प्रकार की कमजोरियों को अधिकांशतः दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में  दूरस्थ बफर अतिप्रवाह)
| नेटवर्क (एन)||असुरक्षित इंटरफ़ेस ओएसआई नेटवर्क स्टैक की परत 3 या उससे ऊपर पर कार्यकर रहा है। इस प्रकार की शक्तिहीनियों को अधिकांशतः दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में  दूरस्थ बफर अतिप्रवाह)
|1.0
|1.0
|}
|}
Line 61: Line 61:
| उच्च (एच)|| विशिष्ट स्थितियाँ उपस्थित हैं, जैसे  संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है।||0.35
| उच्च (एच)|| विशिष्ट स्थितियाँ उपस्थित हैं, जैसे  संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है।||0.35
|-
|-
| मध्यम (एम)||आघात के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे आघात की उत्पत्ति पर  सीमा, असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ कमजोर प्रणाली के चलने की आवश्यकता।
| मध्यम (एम)||आघात के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे आघात की उत्पत्ति पर  सीमा, असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ शक्तिहीन प्रणाली के चलने की आवश्यकता।
|0.61
|0.61
|-
|-
Line 70: Line 70:
====प्रमाणीकरण====
====प्रमाणीकरण====


ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब  आक्रमणकारी को लक्ष्य का लाभ उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक कमजोरियों के लिए, यह मान मात्र एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।
ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब  आक्रमणकारी को लक्ष्य का लाभ उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक शक्तिहीनियों के लिए, यह मान मात्र एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।
{| class="wikitable"
{| class="wikitable"
|-
|-
Line 93: Line 93:
| कोई नहीं (एन) || प्रणाली की गोपनीयता पर कोई प्रभाव नहीं पड़ता है।||0.0
| कोई नहीं (एन) || प्रणाली की गोपनीयता पर कोई प्रभाव नहीं पड़ता है।||0.0
|-
|-
| आंशिक (पी) || जानकारी का काफी खुलासा हुआ है, लेकिन क्षति का दायरा इस प्रकार सीमित है कि सभी डेटा उपलब्ध नहीं हैं।||0.275
| आंशिक (पी) || जानकारी का अधिक स्पष्ट हुआ है, लेकिन क्षति का परिधि इस प्रकार सीमित है कि सभी डेटा उपलब्ध नहीं हैं।||0.275
|-
|-
| पूर्ण (सी) || प्रणाली पर किसी भी / सभी डेटा तक पहुंच प्रदान करने के लिए कुल सूचना प्रकटीकरण है। वैकल्पिक रूप से,एन्यूनात्र कुछ प्रतिबंधित जानकारी तक ही पहुंच प्राप्त की जाती है, लेकिन प्रकट की गई जानकारी प्रत्यक्ष, गंभीर प्रभाव प्रस्तुत करती है।||0.660
| पूर्ण (सी) || प्रणाली पर किसी भी / सभी डेटा तक पहुंच प्रदान करने के लिए कुल सूचना प्रकटीकरण है। वैकल्पिक रूप से, एन्यूनात्र कुछ प्रतिबंधित जानकारी तक ही पहुंच प्राप्त की जाती है, लेकिन प्रकट की गई जानकारी प्रत्यक्ष, गंभीर प्रभाव प्रस्तुत करती है।||0.660
|}
|}


Line 107: Line 107:
| कोई नहीं (एन) || प्रणाली की अखंडता पर कोई प्रभाव नहीं पड़ता है।||0.0
| कोई नहीं (एन) || प्रणाली की अखंडता पर कोई प्रभाव नहीं पड़ता है।||0.0
|-
|-
| आंशिक (पी) || कुछ डेटा या प्रणाली फ़ाइलों का संशोधन संभव है, लेकिन संशोधन का दायरा सीमित है।||0.275
| आंशिक (पी) || कुछ डेटा या प्रणाली फ़ाइलों का संशोधन संभव है, लेकिन संशोधन का परिधि सीमित है।||0.275
|-
|-
| पूर्ण (सी) || अखंडता का कुल क्षति होता है; आक्रमणकारी लक्ष्य प्रणाली पर किसी भी फाइल या सूचना को संशोधित कर सकता है।||0.660
| पूर्ण (सी) || अखंडता का कुल क्षति होता है; आक्रमणकारी लक्ष्य प्रणाली पर किसी भी फाइल या सूचना को संशोधित कर सकता है।||0.660
Line 187: Line 187:
| अप्रमाणित (यू) || कोई शोषण कोड उपलब्ध नहीं है, या शोषण सैद्धांतिक है || 0.85
| अप्रमाणित (यू) || कोई शोषण कोड उपलब्ध नहीं है, या शोषण सैद्धांतिक है || 0.85
|-
|-
| सबूत की अवधारणा (पी) || प्रूफ-ऑफ-कॉन्सेप्ट शोषण कोड या प्रदर्शन आघात उपलब्ध हैं, लेकिन व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। भेद्यता के सभी उदाहरणों के विरुद्ध कार्यशील नहीं है। || 0.9
| प्रमाण  की अवधारणा (पी) || प्रूफ-ऑफ-कॉन्सेप्ट शोषण कोड या प्रदर्शन आघात उपलब्ध हैं, लेकिन व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। भेद्यता के सभी उदाहरणों के विरुद्ध कार्यशील नहीं है। || 0.9
|-
|-
| कार्यात्मक (एफ) || कार्यात्मक शोषण कोड उपलब्ध है, और ज्यादातर स्थितियों में कार्यकरता है जहां भेद्यता उपस्थित है। || 0.95
| कार्यात्मक (एफ) || कार्यात्मक शोषण कोड उपलब्ध है, और ज्यादातर स्थितियों में कार्यकरता है जहां भेद्यता उपस्थित है। || 0.95
Line 221: Line 221:
! मूल्य !! विवरण !! अंक
! मूल्य !! विवरण !! अंक
|-
|-
| अपुष्ट (यूसी) || अपुष्ट स्रोत, या ाधिक परस्पर विरोधी स्रोत। अफवाह भेद्यता। || 0.9
| अपुष्ट (यूसी) || अपुष्ट स्रोत, परस्पर विरोधी स्रोत। अफवाह भेद्यता। || 0.9
|-
|-
| असंपुष्ट (यूआर) || कई स्रोत जो व्यापक रूप से सहमत हैं - भेद्यता के बारे में शेष अनिश्चितता का स्तर हो सकता है || 0.95
| असंपुष्ट (यूआर) || कई स्रोत जो व्यापक रूप से सहमत हैं - भेद्यता के बारे में शेष अनिश्चितता का स्तर हो सकता है || 0.95
Line 247: Line 247:
! Metric !! महत्व !! विवरण
! Metric !! महत्व !! विवरण
|-
|-
| शोषण || अवधारणा का सबूत || बुनियादी शोषण की कार्यक्षमता दिखाने के लिए प्रूफ-ऑफ अवधारणा, गैर-स्वचालित कोड प्रदान किया जाता है।
| शोषण || अवधारणा का प्रमाण || बुनियादी शोषण की कार्यक्षमता दिखाने के लिए प्रूफ-ऑफ अवधारणा, गैर-स्वचालित कोड प्रदान किया जाता है।
|-
|-
| उपचारात्मक स्तर || अनुपलब्ध ||विक्रेता को अभी तक शमन प्रदान करने या ठीक करने का अवसर नहीं मिला है।
| उपचारात्मक स्तर || अनुपलब्ध ||विक्रेता को अभी तक शमन प्रदान करने या उचित करने का अवसर नहीं मिला है।
|-
|-
| विश्वास की रिपोर्ट करें || अपुष्ट || भेद्यता की  ही रिपोर्ट की गई है
| विश्वास की रिपोर्ट करें || अपुष्ट || भेद्यता की  ही रिपोर्ट की गई है
Line 257: Line 257:
यदि विक्रेता भेद्यता की पुष्टि करता है, तो ई: पी / आरएल: यू / आरसी: सी के अस्थायी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।
यदि विक्रेता भेद्यता की पुष्टि करता है, तो ई: पी / आरएल: यू / आरसी: सी के अस्थायी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।


वेंडर की ओर से अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक न्यून कर देगा, जबकि आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। . चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को ठीक कर दिया गया है या पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर निश्चित स्तर से न्यून नहीं हो सकता है, और यदि भेद्यता के लिए  स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।
वेंडर की ओर से अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक न्यून कर देगा, जबकि आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को उचित कर दिया गया है पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर निश्चित स्तर से न्यून नहीं हो सकता है, और यदि भेद्यता के लिए  स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।


=== पर्यावरण मेट्रिक्स ===
=== पर्यावरण मेट्रिक्स ===
पर्यावरण मेट्रिक्स आधार और वर्तमान अस्थायी स्कोर का उपयोग कमजोर उत्पाद या सॉफ़्टवेयर को नियुक्त करने की विधि के संदर्भ में भेद्यता की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।
पर्यावरण मेट्रिक्स आधार और वर्तमान अस्थायी स्कोर का उपयोग शक्तिहीन उत्पाद या सॉफ़्टवेयर को नियुक्त करने की विधि के संदर्भ में भेद्यता की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।


==== संपार्श्विक क्षति संभावित ====
==== संपार्श्विक क्षति संभावित ====
Line 283: Line 283:


==== लक्ष्य वितरण ====
==== लक्ष्य वितरण ====
लक्ष्य वितरण (टीडी) मीट्रिक पर्यावरण में कमजोर प्रणालियों के अनुपात को मापता है।
लक्ष्य वितरण (टीडी) मीट्रिक पर्यावरण में शक्तिहीन प्रणालियों के अनुपात को मापता है।
{| class="wikitable"
{| class="wikitable"
|-
|-
Line 339: Line 339:
! मीट्रिक !! महत्व !! विवरण
! मीट्रिक !! महत्व !! विवरण
|-
|-
| संपार्श्विक क्षति संभावित || मध्यम ऊँचाई || यह मान इस बात पर निर्भर करेगा कि यदि  कमजोर प्रणाली का शोषण किया जाता है तो आक्रमणकारी किस सूचना तक पहुँच प्राप्त कर सकता है। इस स्थिति में, मैं मान रहा हूं कि कुछ व्यक्तिगत बैंकिंग जानकारी उपलब्ध है, इसलिए बैंक पर महत्वपूर्ण प्रतिष्ठात्मक प्रभाव है।
| संपार्श्विक क्षति संभावित || मध्यम ऊँचाई || यह मान इस बात पर निर्भर करेगा कि यदि  शक्तिहीन प्रणाली का शोषण किया जाता है तो आक्रमणकारी किस सूचना तक पहुँच प्राप्त कर सकता है। इस स्थिति में, मैं मान रहा हूं कि कुछ व्यक्तिगत बैंकिंग जानकारी उपलब्ध है, इसलिए बैंक पर महत्वपूर्ण प्रतिष्ठात्मक प्रभाव है।
|-
|-
| लक्ष्य वितरण || उच्च || बैंक के सभी वेब सर्वर असुरक्षित सॉफ़्टवेयर चलाते हैं।
| लक्ष्य वितरण || उच्च || बैंक के सभी वेब सर्वर असुरक्षित सॉफ़्टवेयर चलाते हैं।
Line 355: Line 355:
कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया।
कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया।


जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में फर्स्ट को सार्वजनिक पत्र प्रकाशित किया।<ref name="rbs_failures_cvssv2"><nowiki>{{cite web|url=</nowiki>http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}</ref> लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का उदाहरण दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की कमजोरियों को उचित से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग प्रणाली को भेद्यता के त्रुटिहीन प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।
जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में फर्स्ट को सार्वजनिक पत्र प्रकाशित किया।<ref name="rbs_failures_cvssv2"><nowiki>{{cite web|url=</nowiki>http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}</ref> लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का उदाहरण दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की शक्तिहीनियों को उचित से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग प्रणाली को भेद्यता के त्रुटिहीन प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।


आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के मध्य विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य प्रस्तुत किया।<ref name="oracle_partialplus">{{cite web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html |title=सीवीएसएस स्कोरिंग सिस्टम|publisher=Oracle |date=2010-06-01 |accessdate=2015-11-15}}</ref>
आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के मध्य विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य प्रस्तुत किया।<ref name="oracle_partialplus">{{cite web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html |title=सीवीएसएस स्कोरिंग सिस्टम|publisher=Oracle |date=2010-06-01 |accessdate=2015-11-15}}</ref>
Line 368: Line 368:


==== बेस मेट्रिक्स ====
==== बेस मेट्रिक्स ====
बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को कमजोरियों को भिन्न करने में सहायता करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना अनिवार्य था। पूर्व, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का भाग थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की प्रारंभिक भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन कमजोरियों का लाभ उठाया जा सकता है और फिर  प्रणाली या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।
बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को शक्तिहीनियों को भिन्न करने में सहायता करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना अनिवार्य था। पूर्व, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का भाग थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की प्रारंभिक भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन शक्तिहीनियों का लाभ उठाया जा सकता है और फिर  प्रणाली या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।


गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को सीवीएसएसv2 के आंशिक, पूर्ण के स्थान पर कोई नहीं, न्यून, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह सीआईए मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।
गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को सीवीएसएसv2 के आंशिक, पूर्ण के स्थान पर कोई नहीं, न्यून, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह सीआईए मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।
Line 374: Line 374:
एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया जिससे कि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है यदि आक्रमणकारी को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अतिरिक्त, जो भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।
एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया जिससे कि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है यदि आक्रमणकारी को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अतिरिक्त, जो भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।


अटैक वेक्टर (एवी) ने उन कमजोरियों का वर्णन करने के लिए भौतिक (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या प्रणाली तक भौतिक पहुंच की आवश्यकता होती है।
अटैक वेक्टर (एवी) ने उन शक्तिहीनियों का वर्णन करने के लिए भौतिक (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या प्रणाली तक भौतिक पहुंच की आवश्यकता होती है।


टेम्पोरल मेट्रिक्स  
टेम्पोरल मेट्रिक्स  
Line 384: Line 384:


===संस्करण 3 की आलोचना===
===संस्करण 3 की आलोचना===
सितंबर 2015 में  ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में कमजोरियों को स्कोर करने में किया जाता है।<ref name="cert_cvss_iot">{{cite web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html |title=सीवीएसएस और इंटरनेट ऑफ थिंग्स|publisher=CERT Coordination Center |date=2015-09-02 |accessdate=2015-11-15}}</ref>
सितंबर 2015 में  ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में शक्तिहीनियों को स्कोर करने में किया जाता है।<ref name="cert_cvss_iot">{{cite web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html |title=सीवीएसएस और इंटरनेट ऑफ थिंग्स|publisher=CERT Coordination Center |date=2015-09-02 |accessdate=2015-11-15}}</ref>


== संस्करण 3.1 ==
== संस्करण 3.1 ==
सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में सुधार करते हैं।
सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में सुधार करते हैं।


फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही कमजोरियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई भिन्न-भिन्न निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए  नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के  बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता होते है।
फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही शक्तिहीनियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई भिन्न-भिन्न निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए  नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के  बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता होते है।


सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।
सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।


== दत्तक ग्रहण ==
== दत्तक ग्रहण ==
सीवीएसएस के संस्करणों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा कमजोरियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:
सीवीएसएस के संस्करणों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा शक्तिहीनियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:
* [[राष्ट्रीय भेद्यता डेटाबेस]] (एनवीडी)<ref name="nvdb_main">{{cite web|url=http://nvd.nist.gov/home.cfm |title=राष्ट्रीय भेद्यता डेटाबेस होम|publisher=Nvd.nist.gov |date= |accessdate=2013-04-16}}</ref>
* [[राष्ट्रीय भेद्यता डेटाबेस]] (एनवीडी)<ref name="nvdb_main">{{cite web|url=http://nvd.nist.gov/home.cfm |title=राष्ट्रीय भेद्यता डेटाबेस होम|publisher=Nvd.nist.gov |date= |accessdate=2013-04-16}}</ref>
* [[ओपन सोर्स भेद्यता डेटाबेस]] (ओएसवीडीबी)<ref name="osvdb_main">{{cite web|url=http://www.osvdb.org/ |title=ओपन सोर्स भेद्यता डेटाबेस|publisher=OSVDB |date= |accessdate=2013-04-16}}</ref>
* [[ओपन सोर्स भेद्यता डेटाबेस]] (ओएसवीडीबी)<ref name="osvdb_main">{{cite web|url=http://www.osvdb.org/ |title=ओपन सोर्स भेद्यता डेटाबेस|publisher=OSVDB |date= |accessdate=2013-04-16}}</ref>
Line 400: Line 400:


== यह भी देखें ==
== यह भी देखें ==
*सामान्य कमजोरी गणना (सीडब्ल्यूई)
*सामान्य शक्तिहीनी गणना (सीडब्ल्यूई)
*सामान्य भेद्यताएं और जोखिम (सीवीई)
*सामान्य भेद्यताएं और जोखिम (सीवीई)
*आम हमला पैटर्न गणना और वर्गीकरण (सीएपीईसी)
*आम हमला पैटर्न गणना और वर्गीकरण (सीएपीईसी)

Revision as of 11:59, 14 May 2023

सामान्य भेद्यता स्कोरिंग प्रणाली (सीवीएसएस) कंप्यूटर सुरक्षा भेद्यता (कंप्यूटिंग) की गंभीरता का आकलन करने के लिए स्वतंत्र और विवृत उद्योग मानक है। सीवीएसएस शक्तिहीनियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई सॉफ्टवेयर मीट्रिक पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिएएन्यूनात्र सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और संगठन के भीतर व्यापक रूप से शक्तिहीन प्रणाली क्रमशः उपस्थित हैं।

सीवीएसएस (सीवीएसएसवी3.1) का वर्तमान संस्करण जून 2019 में निरंतर किया गया था।[1]

इतिहास

2003/2004 में राष्ट्रीय अवसंरचना सलाहकार परिषद (एनआईएसी) द्वारा किए गए शोध ने फरवरी 2005 में सीवीएसएस वर्जन 1 (सीवीएसएस v1) को लॉन्च किया।[2] सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के लक्ष्य के साथ हैं। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, एनआईएसी ने भविष्य के विकास के लिए सीवीएसएस का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम का चयन किया।[3][4]

उत्पादन में सीवीएसएस v1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि सीवीएसएस के प्रारंभिक मसौदे के साथ महत्वपूर्ण मुद्दे थे। सीवीएसएस संस्करण 2 (सीवीएसएसवी2) पर कार्य अप्रैल 2005 में प्रारंभ हुआ और अंतिम विनिर्देश जून 2007 में प्रारंभ किया गया।[5]

आगे की प्रतिक्रिया के परिणामस्वरूप सीवीएसएस संस्करण 3 पर कार्य प्रारंभ हुआ[6] 2012 में, जून 2015 में निरंतर सीवीएसएसv3.0 के साथ समाप्त किया गया।[2][7]


शब्दावली

सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है:

1. भेद्यता के आंतरिक गुणों के लिए बेस मेट्रिक्स

2. भेद्यता के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स

3. शक्तिहीनियों के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं।

इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।

संस्करण 2

सीवीएसएसv2 के लिए संपूर्ण अधिकारपत्रीकरण फर्स्ट से उपलब्ध है।[8] नीचे सारांश दिया गया है।

बेस मेट्रिक्स

एक्सेस वेक्टर

एक्सेस वेक्टर (एवी) दिखाता है कि भेद्यता का शोषण कैसे किया जा सकता है।

महत्व विवरण अंक
स्थानीय (एल) आक्रमणकारी के निकट या तो शक्तिहीन प्रणाली (जैसे फायरवायर आघात) या स्थानीय खाते (जैसे विशेषाधिकार वृद्धि आघात) तक भौतिक पहुंच होनी चाहिए। 0.395
आसन्न नेटवर्क (ए) आक्रमणकारी के निकट शक्तिहीन प्रणाली के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ आघात)। 0.646
नेटवर्क (एन) असुरक्षित इंटरफ़ेस ओएसआई नेटवर्क स्टैक की परत 3 या उससे ऊपर पर कार्यकर रहा है। इस प्रकार की शक्तिहीनियों को अधिकांशतः दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में दूरस्थ बफर अतिप्रवाह) 1.0


पहुंच जटिलता

पहुंच जटिलता (एसी) मीट्रिक बताती है कि अनुसंधान गई भेद्यता का लाभ उठाना कितना आसान या कठिन है।

महत्व विवरण अंक
उच्च (एच) विशिष्ट स्थितियाँ उपस्थित हैं, जैसे संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है। 0.35
मध्यम (एम) आघात के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे आघात की उत्पत्ति पर सीमा, असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ शक्तिहीन प्रणाली के चलने की आवश्यकता। 0.61
न्यून (एल) भेद्यता का दोहन करने के लिए कोई विशेष शर्तें नहीं हैं, जैसे कि जब प्रणाली बड़ी संख्या में उपयोगकर्ताओं के लिए उपलब्ध हो, या असुरक्षित कॉन्फ़िगरेशन सर्वव्यापी हो। 0.71


प्रमाणीकरण

ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब आक्रमणकारी को लक्ष्य का लाभ उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक शक्तिहीनियों के लिए, यह मान मात्र एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।

महत्व विवरण अंक
ाधिक (एम) भेद्यता के शोषण के लिए आवश्यक है कि आक्रमणकारी दो या अधिक बार प्रमाणित करे, भले ही हर बार समान क्रेडेंशियल्स का उपयोग किया जाए। 0.45
ल (एस) भेद्यता का लाभ उठाने के लिए आक्रमणकारी को बार प्रमाणित करना होगा। 0.56
कोई नहीं (एन) आक्रमणकारी को प्रमाणित करने की कोई आवश्यकता नहीं है। 0.704


प्रभाव मेट्रिक्स

गोपनीयता

गोपनीयता (सी) मीट्रिक प्रणाली द्वारा संसाधित डेटा की गोपनीयता पर प्रभाव का वर्णन करता है।

महत्व विवरण अंक
कोई नहीं (एन) प्रणाली की गोपनीयता पर कोई प्रभाव नहीं पड़ता है। 0.0
आंशिक (पी) जानकारी का अधिक स्पष्ट हुआ है, लेकिन क्षति का परिधि इस प्रकार सीमित है कि सभी डेटा उपलब्ध नहीं हैं। 0.275
पूर्ण (सी) प्रणाली पर किसी भी / सभी डेटा तक पहुंच प्रदान करने के लिए कुल सूचना प्रकटीकरण है। वैकल्पिक रूप से, एन्यूनात्र कुछ प्रतिबंधित जानकारी तक ही पहुंच प्राप्त की जाती है, लेकिन प्रकट की गई जानकारी प्रत्यक्ष, गंभीर प्रभाव प्रस्तुत करती है। 0.660


ईमानदारी

सत्यनिष्ठा (I) मीट्रिक शोषित प्रणाली की अखंडता पर प्रभाव का वर्णन करता है।

महत्व विवरण अंक
कोई नहीं (एन) प्रणाली की अखंडता पर कोई प्रभाव नहीं पड़ता है। 0.0
आंशिक (पी) कुछ डेटा या प्रणाली फ़ाइलों का संशोधन संभव है, लेकिन संशोधन का परिधि सीमित है। 0.275
पूर्ण (सी) अखंडता का कुल क्षति होता है; आक्रमणकारी लक्ष्य प्रणाली पर किसी भी फाइल या सूचना को संशोधित कर सकता है। 0.660


उपलब्धता

उपलब्धता (ए) मीट्रिक लक्ष्य प्रणाली की उपलब्धता पर प्रभाव का वर्णन करती है। आघात जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य संसाधन का उपभोग करते हैं, प्रणाली की उपलब्धता को प्रभावित करते हैं।

महत्व विवरण अंक
कोई नहीं (एन) प्रणाली की उपलब्धता पर कोई प्रभाव नहीं पड़ता है। 0.0
आंशिक (पी) प्रदर्शन न्यून हो गया है या कुछ कार्यक्षमता का क्षति हुआ है। 0.275
पूर्ण (सी) हमला किए गए संसाधन की उपलब्धता का कुल क्षति हुआ है। 0.660


गणना

इन छह मेट्रिक्स का उपयोग शोषण क्षमता की गणना करने और भेद्यता के उप-स्कोर को प्रभावित करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।

भेद्यता के लिए सीवीएसएस वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।

उदाहरण

बफर ओवरफ्लो भेद्यता वेब सर्वर सॉफ़्टवेयर को प्रभावित करती है जो दूरस्थ उपयोगकर्ता को प्रणाली का आंशिक नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे संवृत करने की क्षमता भी सम्मिलित है:

Metric महत्व विवरण
एक्सेस वेक्टर नेटवर्क भेद्यता को किसी भी नेटवर्क से एक्सेस किया जा सकता है जो लक्ष्य प्रणाली तक पहुंच सकता है - सामान्यतः संपूर्ण इंटरनेट
एक्सेस जटिलता न्यून पहुँच के लिए कोई विशेष आवश्यकताएँ नहीं हैं
प्रमाणीकरण कोई नहीं भेद्यता का लाभ उठाने के लिए प्रमाणीकरण की कोई आवश्यकता नहीं है
गोपनीयता आंशिक आक्रमणकारी प्रणाली पर उपस्थित कुछ फाइलों और डेटा को पढ़ सकता है
अखंडता आंशिक आक्रमणकारी प्रणाली पर कुछ फाइलों और डेटा को बदल सकता है
उपलब्धता पूर्ण आक्रमणकारी प्रणाली को संवृत करके प्रणाली और वेब सेवा को अनुपलब्ध / अनुत्तरदायी बना सकता है

यह 9.0 का समग्र आधार स्कोर देते हुए 10 का शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा।

इस स्थिति में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर सामान्यतः साथ प्रस्तुत किए जाते हैं जिससे कि प्राप्तकर्ता भेद्यता की प्रकृति को पूरी प्रकार से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स का मूल्य भेद्यता के जीवनकाल में बदल जाता है, क्योंकि शोषण विकसित, सारांश और स्वचालित होता है और जैसे ही शमन और सुधार उपलब्ध होते हैं।

शोषणशीलता

शोषण क्षमता (ई) मीट्रिक शोषण तकनीकों या स्वचालित शोषण कोड की वर्तमान स्थिति का वर्णन करती है।

महत्व विवरण अंक
अप्रमाणित (यू) कोई शोषण कोड उपलब्ध नहीं है, या शोषण सैद्धांतिक है 0.85
प्रमाण की अवधारणा (पी) प्रूफ-ऑफ-कॉन्सेप्ट शोषण कोड या प्रदर्शन आघात उपलब्ध हैं, लेकिन व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। भेद्यता के सभी उदाहरणों के विरुद्ध कार्यशील नहीं है। 0.9
कार्यात्मक (एफ) कार्यात्मक शोषण कोड उपलब्ध है, और ज्यादातर स्थितियों में कार्यकरता है जहां भेद्यता उपस्थित है। 0.95
उच्च (एच) मोबाइल कोड (जैसे कीड़ा या वायरस) सहित स्वचालित कोड द्वारा भेद्यता का लाभ उठाया जा सकता है। 1.0
परिभाषित नहीं (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0


उपचारात्मक स्तर

भेद्यता का सुधारात्मक स्तर (आरएल) भेद्यता के अस्थायी स्कोर को न्यून करने की अनुमति देता है क्योंकि शमन और आधिकारिक सुधार उपलब्ध कराए जाते हैं।

महत्व विवरण अंक
आधिकारिक फिक्स (ओ) पूर्ण विक्रेता समाधान उपलब्ध है - या तो पैच या अपग्रेड। 0.87
अस्थायी सुधार (टी) विक्रेता से आधिकारिक लेकिन अस्थायी सुधार/शमन उपलब्ध है। 0.90
समाधान (डब्ल्यू) अनौपचारिक, गैर-विक्रेता समाधान या शमन उपलब्ध है - शायद प्रभावित उत्पाद या किसी अन्य तृतीय पक्ष के उपयोगकर्ताओं द्वारा विकसित या सुझाया गया हो। 0.95
अनुपलब्ध (यू) कोई समाधान उपलब्ध नहीं है, या सुझाए गए समाधान को प्रारम्भ करना असंभव है। जब भेद्यता की पहचान की जाती है तो यह उपचारात्मक स्तर की सामान्य प्रारंभिक स्थिति होती है। 1.0
परिभाषित नहीं (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0


रिपोर्ट विश्वास

भेद्यता की रिपोर्ट विश्वास (आरसी) भेद्यता के अस्तित्व में विश्वास के स्तर को मापता है और भेद्यता के तकनीकी विवरण की विश्वसनीयता को भी मापता है।

मूल्य विवरण अंक
अपुष्ट (यूसी) अपुष्ट स्रोत, परस्पर विरोधी स्रोत। अफवाह भेद्यता। 0.9
असंपुष्ट (यूआर) कई स्रोत जो व्यापक रूप से सहमत हैं - भेद्यता के बारे में शेष अनिश्चितता का स्तर हो सकता है 0.95
पुष्टि (सी) प्रभावित उत्पाद के विक्रेता या निर्माता द्वारा स्वीकार और पुष्टि की गई। 1.0
परिभाषित नहीं (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0


गणना

इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पूर्व से ही संबंधित वेक्टर के साथ भेद्यता के लिए अस्थायी स्कोर बनाने के लिए की जाती है।

लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:


उदाहरण

ऊपर दिए गए उदाहरण के साथ निरंतर रखने के लिए, यदि विक्रेता को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके भेद्यता के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:

Metric महत्व विवरण
शोषण अवधारणा का प्रमाण बुनियादी शोषण की कार्यक्षमता दिखाने के लिए प्रूफ-ऑफ अवधारणा, गैर-स्वचालित कोड प्रदान किया जाता है।
उपचारात्मक स्तर अनुपलब्ध विक्रेता को अभी तक शमन प्रदान करने या उचित करने का अवसर नहीं मिला है।
विश्वास की रिपोर्ट करें अपुष्ट भेद्यता की ही रिपोर्ट की गई है

यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का पूर्ण वेक्टर) के अस्थायी वेक्टर के साथ 7.3 का अस्थायी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).

यदि विक्रेता भेद्यता की पुष्टि करता है, तो ई: पी / आरएल: यू / आरसी: सी के अस्थायी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।

वेंडर की ओर से अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक न्यून कर देगा, जबकि आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को उचित कर दिया गया है पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर निश्चित स्तर से न्यून नहीं हो सकता है, और यदि भेद्यता के लिए स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।

पर्यावरण मेट्रिक्स

पर्यावरण मेट्रिक्स आधार और वर्तमान अस्थायी स्कोर का उपयोग शक्तिहीन उत्पाद या सॉफ़्टवेयर को नियुक्त करने की विधि के संदर्भ में भेद्यता की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।

संपार्श्विक क्षति संभावित

संपार्श्विक क्षति क्षमता (सीडीपी) मीट्रिक भौतिक संपत्ति जैसे उपकरण (और जीवन) पर संभावित क्षति या प्रभाव को मापता है, यदि भेद्यता का शोषण किया जाता है तो प्रभावित संगठन पर वित्तीय प्रभाव पड़ता है।

महत्व विवरण अंक
कोई नहीं (एन) संपत्ति, राजस्व या उत्पादकता के क्षति की कोई संभावना नहीं है 0
न्यून (एल) संपत्ति को थोड़ा क्षति, या राजस्व या उत्पादकता का सामान्य क्षति 0.1
निम्न-मध्यम (एलएम) मध्यम क्षति या हानि 0.3
मध्यम-उच्च (एमएच) महत्वपूर्ण क्षति या हानि 0.4
उच्च (एच) विपत्तिपूर्ण क्षति या हानि 0.5
परिभाषित नहीं (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 0


लक्ष्य वितरण

लक्ष्य वितरण (टीडी) मीट्रिक पर्यावरण में शक्तिहीन प्रणालियों के अनुपात को मापता है।

महत्व विवरण अंक
कोई नहीं (एन) कोई लक्ष्य प्रणाली उपस्थित नहीं है, वे एन्यूनात्र प्रयोगशाला सेटिंग में उपस्थित हैं 0
न्यून (एल) 1-25% प्रणाली जोखिम में हैं 0.25
मध्यम (एम) 26–75% प्रणाली जोखिम में हैं 0.75
उच्च (एच) 76-100% प्रणाली जोखिम में हैं 1.0
परिभाषित नहीं (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0


इम्पैक्ट सब्सकोर संशोधक

तीन और मेट्रिक्स गोपनीयता (सीआर),अखंडता (आईआर) और उपलब्धता (एआर) के लिए विशिष्ट सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को उपयोगकर्ताओं के पर्यावरण के अनुसार किया जा सकता है।

महत्व विवरण अंक
न्यून (एल) (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर एन्यूनात्र सीमित प्रभाव पड़ने की संभावना है। 0.5
मध्यम (एम) (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर गंभीर प्रभाव पड़ने की संभावना है। 1.0
उच्च (एच) (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर विपत्तिपूर्ण प्रभाव पड़ने की संभावना है। 1.51
परिभाषित नहीं (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0


गणना

पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पूर्व से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है।


उदाहरण

यदि उपरोक्त असुरक्षित वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और विक्रेता से अस्थायी सुधार उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:

मीट्रिक महत्व विवरण
संपार्श्विक क्षति संभावित मध्यम ऊँचाई यह मान इस बात पर निर्भर करेगा कि यदि शक्तिहीन प्रणाली का शोषण किया जाता है तो आक्रमणकारी किस सूचना तक पहुँच प्राप्त कर सकता है। इस स्थिति में, मैं मान रहा हूं कि कुछ व्यक्तिगत बैंकिंग जानकारी उपलब्ध है, इसलिए बैंक पर महत्वपूर्ण प्रतिष्ठात्मक प्रभाव है।
लक्ष्य वितरण उच्च बैंक के सभी वेब सर्वर असुरक्षित सॉफ़्टवेयर चलाते हैं।
गोपनीयता की आवश्यकता उच्च ग्राहक अपेक्षा करते हैं कि उनकी बैंकिंग जानकारी गोपनीय होगी।
अखंडता की आवश्यकता उच्च प्राधिकरण के बिना वित्तीय और व्यक्तिगत जानकारी बदलने योग्य नहीं होनी चाहिए।
उपलब्धता की आवश्यकता न्यून ऑनलाइन बैंकिंग सेवाओं की अनुपलब्धता से ग्राहकों को असुविधा हो सकती है, लेकिन विनाशकारी नहीं।

यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए प्रभावित बैंक के व्यवसाय के संदर्भ में महत्वपूर्ण भेद्यता है।

संस्करण 2 की आलोचना

कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया।

जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में फर्स्ट को सार्वजनिक पत्र प्रकाशित किया।[9] लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का उदाहरण दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की शक्तिहीनियों को उचित से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग प्रणाली को भेद्यता के त्रुटिहीन प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।

आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के मध्य विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य प्रस्तुत किया।[10]

संस्करण 3

इनमें से कुछ आलोचनाओं को दूर करने के लिए, सीवीएसएस संस्करण 3 का विकास 2012 में प्रारंभ किया गया था। अंतिम विनिर्देश को सीवीएसएस v3.0 नाम दिया गया था और जून 2015 में निरंतर किया गया था। विशिष्टता अधिकारपत्र के अतिरिक्त, उपयोगकर्ता मार्ग और उदाहरण अधिकारपत्र भी निरंतर किए गए थे।[11]

कई मेट्रिक्स परिवर्तन गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), न्यून (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग[12] को परिभाषित किया गया था, एनवीडी के लिए परिभाषित श्रेणियों के समान सीवीएसएस वी2 जो उस मानक का भाग नहीं थे .[13]

संस्करण 2 से परिवर्तन

बेस मेट्रिक्स

बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को शक्तिहीनियों को भिन्न करने में सहायता करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना अनिवार्य था। पूर्व, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का भाग थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की प्रारंभिक भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन शक्तिहीनियों का लाभ उठाया जा सकता है और फिर प्रणाली या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।

गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को सीवीएसएसv2 के आंशिक, पूर्ण के स्थान पर कोई नहीं, न्यून, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह सीआईए मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।

एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया जिससे कि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है यदि आक्रमणकारी को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अतिरिक्त, जो भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।

अटैक वेक्टर (एवी) ने उन शक्तिहीनियों का वर्णन करने के लिए भौतिक (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या प्रणाली तक भौतिक पहुंच की आवश्यकता होती है।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स सीवीएसएसv2 से अनिवार्य रूप से अपरिवर्तित थे।

पर्यावरण मेट्रिक्स

सीवीएसएसv2 के पर्यावरणीय मेट्रिक्स को पूरी प्रकार से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ बदल दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की समानता में किसी संगठन या कंपनी के भीतर अंतर को दर्शाना है। विशिष्ट वातावरण में गोपनीयता, अखंडता और उपलब्धता के महत्व को पकड़ने के लिए नए मेट्रिक्स जोड़े गए है।

संस्करण 3 की आलोचना

सितंबर 2015 में ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में शक्तिहीनियों को स्कोर करने में किया जाता है।[14]

संस्करण 3.1

सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में सुधार करते हैं।

फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही शक्तिहीनियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई भिन्न-भिन्न निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता होते है।

सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।

दत्तक ग्रहण

सीवीएसएस के संस्करणों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा शक्तिहीनियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:

यह भी देखें

  • सामान्य शक्तिहीनी गणना (सीडब्ल्यूई)
  • सामान्य भेद्यताएं और जोखिम (सीवीई)
  • आम हमला पैटर्न गणना और वर्गीकरण (सीएपीईसी)

संदर्भ

  1. "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
  2. 2.0 2.1 Johnson, Pontus; Lagerstrom, Robert; Ekstedt, Mathias; Franke, Ulrik (2018-11-01). "Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis". IEEE Transactions on Dependable and Secure Computing. 15 (6): 1002–1015. doi:10.1109/TDSC.2016.2644614. ISSN 1545-5971. S2CID 53287880.
  3. "सीवीएसएस v1 आर्काइव". First.org, Inc. Retrieved 2015-11-15.
  4. "NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC" (PDF). Cybersecurity and Infrastructure Security Agency. 2005-04-12. Retrieved 2022-07-18. MITRE and CERT/CC both bring distinct but important value. Based on those proposals, the Working Group strongly suggests that these organizations work under the umbrella provided by Global FIRST for the CVSS.
  5. "CVSS v2 History". First.org, Inc. Retrieved 2015-11-15.
  6. "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. Archived from the original on February 17, 2013. Retrieved March 2, 2013.
  7. "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
  8. "सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण". First.org, Inc. Retrieved 2015-11-15.
  9. {{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}
  10. "सीवीएसएस स्कोरिंग सिस्टम". Oracle. 2010-06-01. Retrieved 2015-11-15.
  11. "CVSS v3,.0 विशिष्टता दस्तावेज़". FIRST, Inc. Retrieved 2015-11-15.
  12. "सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)". First.org. Retrieved 2016-01-10.
  13. "NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2". National Vulnerability Database. National Institute of Standards and Technology. Retrieved March 2, 2013.
  14. "सीवीएसएस और इंटरनेट ऑफ थिंग्स". CERT Coordination Center. 2015-09-02. Retrieved 2015-11-15.
  15. "राष्ट्रीय भेद्यता डेटाबेस होम". Nvd.nist.gov. Retrieved 2013-04-16.
  16. "ओपन सोर्स भेद्यता डेटाबेस". OSVDB. Retrieved 2013-04-16.
  17. "सीवीएसएस का उपयोग कर भेद्यता गंभीरता". CERT Coordination Center. 2012-04-12. Retrieved 2015-11-15.


बाहरी संबंध