Common Vulnerability Scoring System: differenze tra le versioni

Il '''Common Vulnerability Scoring System''' ('''CVSS''') è unouna [[norma tecnica]] [[Standard aperto|aperta]] per valutare la gravità delle [[Vulnerabilità informatica|vulnerabilità di sicurezza]] [[Sicurezzadi informatica|sicurezza delun [[sistema informatico]] . CVSS tentaassegna diun assegnare punteggipunteggio di gravità alle vulnerabilità, consentendo a chi si occupa di rispondere all'emergenza di darestabilire la priorità alledi risposte e alle risorse in base alla minaccia. I punteggi vengono calcolati in base acon una formula che dipende da diverse [[Metrica software|metriche]] che approssimano la facilità e l'impatto di un exploit. IIl punteggipunteggio vannoè espresso in una scala da 0 a 10, dove 10 èindica il livello di vulnerabilità più grave. Sebbene molti utilizzino solo il punteggio di base CVSS per determinare la gravità, esistono anche punteggi temporali e ambientali, per tenere conto rispettivamente della disponibilità di mitigazioni e della diffusione dei sistemi vulnerabili all'interno di un'organizzazione.

L'attuale versione di CVSS (CVSSv3.1) è stata rilasciata a giugno 2019. <ref name="cvss3.1">{{Cita web|url=https://www.first.org/cvss/v3-1/|titolo=Common Vulnerability Scoring System Version 3.1}}</ref>

La ricerca del [[Consiglio consultivo nazionale per le infrastrutture|National Infrastructure Advisory Council]] (NIAC) nel 2003/2004 ha portato al lancio della versione 1 (CVSSv1) nel febbraio 2005, con l'obiettivo di essere "progettato per fornire livelli di gravità aperti e standard universali delle vulnerabilità del software". Questa bozza iniziale non era stata soggetta a [[peer review]] o revisione da parte di altre organizzazioni. Nell'aprile 2005, NIAC ha selezionato il Forum of Incident Response and Security Teams (FIRST) per occuparsi dello sviluppo futuro del CVSS. <ref name="cvssv1">{{Cita web|url=https://www.first.org/cvss/v1|titolo=Common Vulnerability Scoring System v1 Archive}}</ref>

Il feedback dei fornitori che utilizzano CVSSv1 in produzione ha suggeritoindicato che c'erano "problemi significativi con lanella bozza iniziale di CVSS"., così, nell'aprile 2005 è cominciato il lavoro sulla versione 2 di CVSS (CVSSv2), conlanciata lanella versionesua revisione finale lanciata nel giugno 2007. <ref name="cvssv2">{{Cita web|url=https://www.first.org/cvss/v2/history|titolo=CVSS-SIG Version 2 History}}</ref>

Ulteriori feedback hanno portato all'inizio del lavoro sulla versione 3 di CVSS nel 2012, che si è concluso con il rilascio di CVSSv3.0 a giugno 2015. <ref name="cvss3.0">{{Cita web|url=https://www.first.org/cvss/v3-0/|titolo=Common Vulnerability Scoring System version 3.0}}</ref>

La società Risk Based Security, che gestisce il database delle vulnerabilità open source, e la Open Security Foundation hanno pubblicato congiuntamente una lettera pubblica a FIRST in merito alle carenze e ai fallimenti di CVSSv2. <ref name="rbs_failures_cvssv2">{{Cita web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf|titolo=The CVSSv2 Shortcomings, Faults, and Failures Formulation}}</ref> Gli autori hanno citato una mancanza di granularità in diverse metriche che si traduce in vettori e punteggi CVSS che non distinguono correttamente le vulnerabilità di diverso tipo e profili di rischio. È stato anche notato che il sistema di punteggio CVSS richiede una conoscenza eccessiva dell'esatto impatto della vulnerabilità.

Oracle ha introdotto il nuovo valore della metrica "Partial+" per Riservatezza, Integrità e Disponibilità, per colmare le lacune percepite nella descrizione tra Parziale e Completo nelle specifiche ufficiali CVSS. <ref name="oracle_partialplus">{{Cita web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html|titolo=Use of Common Vulnerability Scoring System (CVSS) by Oracle}}</ref>

Per affrontare alcune di queste criticità, nel 2012 si è avviato lo sviluppo della versione 3 di CVSS. La versione finale è stata denominata CVSS v3.0 e rilasciata nel giugno 2015. Oltre a un documento di specifica, sono stati rilasciati anche una guida per l'utente e un documento di esempi. <ref name="cvssv3.0_specs">{{Cita web|url=https://www.first.org/cvss/specification-document|titolo=Common Vulnerability Scoring System version 3.1: Specification Document}}</ref>

Diverse metriche sono state modificate, aggiunte e rimosse. Le formule numeriche sono state aggiornate per incorporare le nuove metriche pur mantenendo l'intervallo di punteggio esistente di 0-10. Sono stati definiti i livelli di gravità testuale Nessuno (0), Basso (0,1-3,9), Medio (4,0-6,9), Alto (7,0-8,9) e Critico (9,0-10,0) <ref name="cvss3.0_severities">{{Cita web|url=https://www.first.org/cvss/specification-document#i5|titolo=Metric Value Description}}</ref>, simili alle categorie NVD definite per CVSS v2 che non facevano parte di quello standard. <ref name="nist_ranges">{{Cita web|url=http://nvd.nist.gov/cvss.cfm|titolo=Vulnerability Metrics - NVD}}</ref>

In un post sul blog nel settembre 2015, il Centro di coordinamento del [[CERT]] ha discusso dei limiti di CVSSv2 e CVSSv3.0 per l'uso nel valutare le vulnerabilità nei sistemi tecnologici emergenti come l'Internet delle cose. <ref name="cert_cvss_iot">{{Cita web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html|titolo=CVSS and the Internet of Things}}</ref>