Common Vulnerability Scoring System: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Nessun oggetto della modifica |
Funzionalità collegamenti suggeriti: 3 collegamenti inseriti. |
||
Riga 22:
Diversi fornitori e organizzazioni hanno espresso insoddisfazione per CVSSv2.
La società Risk Based Security, che gestisce il database delle vulnerabilità [[open source]], e la Open Security Foundation hanno pubblicato congiuntamente una lettera pubblica a FIRST in merito alle carenze e ai fallimenti di CVSSv2.<ref name="rbs_failures_cvssv2">{{Cita web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf|titolo=The CVSSv2 Shortcomings, Faults, and Failures Formulation}}</ref> Gli autori hanno citato una mancanza di granularità in diverse metriche che si traduce in vettori e punteggi CVSS che non distinguono correttamente le vulnerabilità di diverso tipo e profili di rischio. È stato anche notato che il sistema di punteggio CVSS richiede una conoscenza eccessiva dell'esatto impatto della vulnerabilità.
Oracle ha introdotto il nuovo valore della metrica "Partial+" per Riservatezza, Integrità e Disponibilità, per colmare le lacune percepite nella descrizione tra Parziale e Completo nelle specifiche ufficiali CVSS.<ref name="oracle_partialplus">{{Cita web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html|titolo=Use of Common Vulnerability Scoring System (CVSS) by Oracle}}</ref>
Riga 49:
=== Criticità della versione 3 ===
In un post sul [[blog]] nel settembre 2015, il Centro di coordinamento del [[CERT]] ha discusso dei limiti di CVSSv2 e CVSSv3.0 per l'uso nel valutare le vulnerabilità nei sistemi tecnologici emergenti come l'Internet delle cose.<ref name="cert_cvss_iot">{{Cita web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html|titolo=CVSS and the Internet of Things}}</ref>
== Versione 3.1 ==
Riga 56:
FIRST ha utilizzato il contributo di esperti del settore per continuare a migliorare e perfezionare CVSS per essere sempre più applicabile alle vulnerabilità, ai prodotti e alle piattaforme sviluppate negli ultimi 15 anni e oltre. L'obiettivo principale di CVSS è fornire un modo deterministico e ripetibile per valutare la gravità di una vulnerabilità in molti gruppi diversi, consentendo ai consumatori di CVSS di utilizzare questo punteggio come input per una matrice decisionale più ampia di rischio, mitigazione specifica per il loro ambiente particolare e propensione al rischio.
Gli aggiornamenti alla specifica CVSS versione 3.1 includono il chiarimento delle definizioni e la spiegazione delle metriche di base esistenti come il vettore di attacco, i privilegi richiesti, l'ambito e i requisiti di sicurezza. È stato inoltre definito un nuovo metodo standard di estensione del CVSS, chiamato CVSS Extensions [[Framework]], che consente a un fornitore di punteggio di includere metriche e gruppi di metriche aggiuntivi mantenendo le metriche di base, temporali e ambientali ufficiali. Le metriche aggiuntive consentono a settori industriali come la privacy, la sicurezza, l'automotive, l'assistenza sanitaria, ecc., di valutare i fattori che sono al di fuori dello standard CVSS di base. Infine, il Glossario dei termini CVSS è stato ampliato e perfezionato per coprire tutti i termini utilizzati nella documentazione CVSS versione 3.1.
== Note ==
| |||