Common Vulnerability Scoring System: differenze tra le versioni

Il '''Common Vulnerability Scoring System''' ('''CVSS''') è unouna [[norma tecnica]] [[Standard aperto|aperta]] per valutare la gravità delle [[Vulnerabilità informatica|vulnerabilità di sicurezza]] [[Sicurezzadi informatica|sicurezza delun [[sistema informatico]] . CVSS tentaassegna diun assegnare punteggipunteggio di gravità alle vulnerabilità, consentendo a chi si occupa di rispondere all'emergenza di darestabilire la priorità alledi risposte e alle risorse in base allaal livello di minaccia. I punteggi vengono calcolati in base acon una formula che dipende da diverse [[Metrica software|metriche]] che approssimano la facilità e l'impatto di un exploit. IIl punteggipunteggio vannoè espresso in una scala da 0 a 10, dove 10 èindica il livello di vulnerabilità più grave. Sebbene molti utilizzino solo il punteggio di base CVSS per determinare la gravità, esistono anche punteggi temporali e ambientali, per tenere conto rispettivamente della disponibilità di mitigazioni e della diffusione dei sistemi vulnerabili all'interno di un'organizzazione.

L'attuale versione di CVSS (CVSSv3CVSSv4.10) è stata rilasciata a giugnonovembre 20192023. <ref name="cvss3cvss4.10">{{Cita web|url=https://www.first.org/cvss/v3v4-10/|titolo=Common Vulnerability Scoring System Version 34.10}}</ref>

La ricerca del [[Consiglio consultivo nazionale per le infrastrutture|National Infrastructure Advisory Council]] (NIAC) nel 2003/2004 ha portato al lancio della versione 1 (CVSSv1) nel febbraio 2005, con l'obiettivo di essere "progettato per fornire livelli di gravità aperti e standard universali delle vulnerabilità del software". Questa bozza iniziale non era stata soggetta a [[peer review]] o revisione da parte di altre organizzazioni. Nell'aprile 2005, NIAC ha selezionato il Forum of Incident Response and Security Teams (FIRST) per occuparsi dello sviluppo futuro del CVSS. <ref name="cvssv1">{{Cita web|url=https://www.first.org/cvss/v1|titolo=Common Vulnerability Scoring System v1 Archive}}</ref>

Il feedback dei fornitori che utilizzano CVSSv1 in produzione ha suggeritoindicato che c'erano "problemi significativi con lanella bozza iniziale di CVSS"., così, nell'aprile 2005 è cominciato il lavoro sulla versione 2 di CVSS (CVSSv2), conlanciata lanella versionesua revisione finale lanciata nel giugno 2007. <ref name="cvssv2">{{Cita web|url=https://www.first.org/cvss/v2/history|titolo=CVSS-SIG Version 2 History}}</ref>

Ulteriori feedback hanno portato all'inizio del lavoro sulla versione 3 di CVSS nel 2012, che si è concluso con il rilascio di CVSSv3.0 a giugno 2015. <ref name="cvss3.0">{{Cita web|url=https://www.first.org/cvss/v3-0/|titolo=Common Vulnerability Scoring System version 3.0}}</ref>

La società Risk Based Security, che gestisce il [[database delle vulnerabilità]] [[open source]], e la Open Security Foundation hanno pubblicato congiuntamente una lettera pubblica a FIRST in merito alle carenze e ai fallimenti di CVSSv2. <ref name="rbs_failures_cvssv2">{{Cita web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf|titolo=The CVSSv2 Shortcomings, Faults, and Failures Formulation|accesso=18 dicembre 2021|dataarchivio=11 marzo 2022|urlarchivio=https://web.archive.org/web/20220311015907/https://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf|urlmorto=sì}}</ref> Gli autori hanno citato una mancanza di granularità in diverse metriche che si traduce in vettori e punteggi CVSS che non distinguono correttamente le vulnerabilità di diverso tipo e profili di rischio. È stato anche notato che il sistema di punteggio CVSS richiede una conoscenza eccessiva dell'esatto impatto della vulnerabilità.

Oracle ha introdotto il nuovo valore della metrica "Partial+" per Riservatezza, Integrità e Disponibilità, per colmare le lacune percepite nella descrizione tra Parziale e Completo nelle specifiche ufficiali CVSS. <ref name="oracle_partialplus">{{Cita web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html|titolo=Use of Common Vulnerability Scoring System (CVSS) by Oracle}}</ref>

Per affrontare alcune di queste criticità, nel 2012 si è avviato lo sviluppo della versione 3 di CVSS. La versione finale è stata denominata CVSS v3.0 e rilasciata nel giugno 2015. Oltre a un documento di specifica, sono stati rilasciati anche una guida per l'utente e un documento di esempi. <ref name="cvssv3.0_specs">{{Cita web|url=https://www.first.org/cvss/specification-document|titolo=Common Vulnerability Scoring System version 3.1: Specification Document}}</ref>

Diverse metriche sono state modificate, aggiunte e rimosse. Le formule numeriche sono state aggiornate per incorporare le nuove metriche pur mantenendo l'intervallo di punteggio esistente di 0-10. Sono stati definiti i livelli di gravità testuale Nessuno (0), Basso (0,1-3,9), Medio (4,0-6,9), Alto (7,0-8,9) e Critico (9,0-10,0) <ref name="cvss3.0_severities">{{Cita web|url=https://www.first.org/cvss/specification-document#i5|titolo=Metric Value Description}}</ref>, simili alle categorie NVD definite per CVSS v2 che non facevano parte di quello standard. <ref name="nist_ranges">{{Cita web|url=http://nvd.nist.gov/cvss.cfm|titolo=Vulnerability Metrics - NVD}}</ref>

In un post sul [[blog]] nel settembre 2015, il Centro di coordinamento del [[CERT]] ha discusso dei limiti di CVSSv2 e CVSSv3.0 per l'uso nel valutare le vulnerabilità nei sistemi tecnologici emergenti come l'Internet delle cose. <ref name="cert_cvss_iot">{{Cita web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html|titolo=CVSS and the Internet of Things}}</ref>

Il 17 giugno 2019 è stato rilasciato un aggiornamento minore di CVSSCVSSv3.0 <ref name="cvss3.1">{{Cita web|url=https://www.first.org/cvss/v3-1/|titolo=Common Vulnerability Scoring System Version 3.1}}</ref>. L'obiettivo della versione 3.1 di CVSS era chiarire e migliorare lo standard CVSS versione 3.0 esistente senza introdurre nuove metriche o valori di metrica, consentendo l'adozione senza attriti del nuovo standard sia da parte dei fornitori di punteggio che dei consumatori. L'usabilità era una considerazione primaria quando si apportavano miglioramenti allo standard CVSS. Diverse modifiche apportate in CVSS v3.1 servono a migliorare la chiarezza dei concetti introdotti in CVSS v3.0, e quindi a migliorare la facilità d'uso complessiva dello standard.

Gli aggiornamenti alla specifica CVSS versione 3.1 includono il chiarimento delle definizioni e la spiegazione delle metriche di base esistenti come il vettore di attacco, i privilegi richiesti, l'ambito e i requisiti di sicurezza. È stato inoltre definito un nuovo metodo standard di estensione del CVSS, chiamato CVSS Extensions [[Framework]], che consente a un fornitore di punteggio di includere metriche e gruppi di metriche aggiuntivi mantenendo le metriche di base, temporali e ambientali ufficiali. Le metriche aggiuntive consentono a settori industriali come la privacy, la sicurezza, l'automotive, l'assistenza sanitaria, ecc., di valutare i fattori che sono al di fuori dello standard CVSS di base. Infine, il Glossario dei termini CVSS è stato ampliato e perfezionato per coprire tutti i termini utilizzati nella documentazione CVSS versione 3.1.