Common Vulnerability Scoring System: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 11:03, 23 mag 2023 modifica Wikiettino (discussione \| contributi) 259 modifiche Funzionalità collegamenti suggeriti: 3 collegamenti inseriti. Etichette: Modifica visuale Attività per i nuovi utenti Suggerito: aggiungi collegamenti ← Differenza precedente		Versione attuale delle 18:16, 3 ago 2024 modifica annulla GiuseppeDiTerlizzi (discussione \| contributi) 36 modifiche m Aggiunta citazione per CVSSv4.0
(2 versioni intermedie di 2 utenti non mostrate)
Riga 1: Il '''Common Vulnerability Scoring System''' ('''CVSS''') è una [[norma tecnica]] [[Standard aperto\|aperta]] per valutare la gravità delle [[Vulnerabilità informatica\|vulnerabilità di sicurezza]] di un [[sistema informatico]]. CVSS assegna un punteggio di gravità alle vulnerabilità, consentendo a chi si occupa di rispondere all'emergenza di stabilire la priorità di risposte e risorse in base al livello di minaccia. I punteggi vengono calcolati con una formula che dipende da diverse [[Metrica software\|metriche]] che approssimano la facilità e l'impatto di un exploit. Il punteggio è espresso in una scala da 0 a 10, dove 10 indica il livello di vulnerabilità più grave. Sebbene molti utilizzino solo il punteggio di base CVSS per determinare la gravità, esistono anche punteggi temporali e ambientali, per tenere conto rispettivamente della disponibilità di mitigazioni e della diffusione dei sistemi vulnerabili all'interno di un'organizzazione. L'attuale versione di CVSS (~~CVSSv3~~CVSSv4.10) è stata rilasciata a ~~giugno~~novembre ~~2019~~2023.<ref name="~~cvss3~~cvss4.10">{{Cita web\|url=https://www.first.org/cvss/v3v4-10/\|titolo=Common Vulnerability Scoring System Version 34.10}}</ref> == Storia == Riga 22: Diversi fornitori e organizzazioni hanno espresso insoddisfazione per CVSSv2. La società Risk Based Security, che gestisce il [[database delle vulnerabilità]] [[open source]], e la Open Security Foundation hanno pubblicato congiuntamente una lettera pubblica a FIRST in merito alle carenze e ai fallimenti di CVSSv2.<ref name="rbs_failures_cvssv2">{{Cita web\|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf\|titolo=The CVSSv2 Shortcomings, Faults, and Failures Formulation\|accesso=18 dicembre 2021\|dataarchivio=11 marzo 2022\|urlarchivio=https://web.archive.org/web/20220311015907/https://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf\|urlmorto=sì}}</ref> Gli autori hanno citato una mancanza di granularità in diverse metriche che si traduce in vettori e punteggi CVSS che non distinguono correttamente le vulnerabilità di diverso tipo e profili di rischio. È stato anche notato che il sistema di punteggio CVSS richiede una conoscenza eccessiva dell'esatto impatto della vulnerabilità. Oracle ha introdotto il nuovo valore della metrica "Partial+" per Riservatezza, Integrità e Disponibilità, per colmare le lacune percepite nella descrizione tra Parziale e Completo nelle specifiche ufficiali CVSS.<ref name="oracle_partialplus">{{Cita web\|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html\|titolo=Use of Common Vulnerability Scoring System (CVSS) by Oracle}}</ref> Riga 52: == Versione 3.1 == Il 17 giugno 2019 è stato rilasciato un aggiornamento minore di ~~CVSS~~CVSSv3.0 <ref name="cvss3.1">{{Cita web\|url=https://www.first.org/cvss/v3-1/\|titolo=Common Vulnerability Scoring System Version 3.1}}</ref>. L'obiettivo della versione 3.1 di CVSS era chiarire e migliorare lo standard CVSS versione 3.0 esistente senza introdurre nuove metriche o valori di metrica, consentendo l'adozione senza attriti del nuovo standard sia da parte dei fornitori di punteggio che dei consumatori. L'usabilità era una considerazione primaria quando si apportavano miglioramenti allo standard CVSS. Diverse modifiche apportate in CVSS v3.1 servono a migliorare la chiarezza dei concetti introdotti in CVSS v3.0, e quindi a migliorare la facilità d'uso complessiva dello standard. FIRST ha utilizzato il contributo di esperti del settore per continuare a migliorare e perfezionare CVSS per essere sempre più applicabile alle vulnerabilità, ai prodotti e alle piattaforme sviluppate negli ultimi 15 anni e oltre. L'obiettivo principale di CVSS è fornire un modo deterministico e ripetibile per valutare la gravità di una vulnerabilità in molti gruppi diversi, consentendo ai consumatori di CVSS di utilizzare questo punteggio come input per una matrice decisionale più ampia di rischio, mitigazione specifica per il loro ambiente particolare e propensione al rischio.