Common Vulnerability Scoring System: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 6: | Zeile 6: | ||
* Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten [[Softwaremetrik|Metrics]], bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann. | * Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten [[Softwaremetrik|Metrics]], bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann. | ||
* CVSS ist selbst kein System zur Warnung vor Sicherheitslücken, sondern ein Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen. | * CVSS ist selbst kein System zur Warnung vor Sicherheitslücken, sondern ein Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen. | ||
* Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht erreicht, da unverändert identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden | * Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht erreicht, da unverändert identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden | ||
| Zeile 18: | Zeile 17: | ||
* Mit CVSSv3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metrik die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte. | * Mit CVSSv3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metrik die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte. | ||
== Siehe auch == | <noinclude> | ||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/CVSS}} | |||
---- | |||
* [[Common Criteria for Information Technology Security Evaluation]] (IEC, ISO) | |||
* Common Weakness Scoring System (CWSS™, MITRE) | |||
* [[Common Vulnerabilities and Exposures]] (CVE, ITU) | |||
=== Links === | ==== Links ==== | ||
==== Projekt ==== | ===== Projekt ===== | ||
==== Weblinks ==== | ===== Weblinks ===== | ||
# https://de.wikipedia.org/wiki/CVSS | # https://de.wikipedia.org/wiki/CVSS | ||
# http://www.first.org/cvss the Forum of Incident Response Teams FIRST CVSS site] | # http://www.first.org/cvss the Forum of Incident Response Teams FIRST CVSS site] | ||
| Zeile 35: | Zeile 39: | ||
# [http://nvd.nist.gov/ All software/hardware vulnerabilities are CVSS scored and can be viewed at the NVD site] | # [http://nvd.nist.gov/ All software/hardware vulnerabilities are CVSS scored and can be viewed at the NVD site] | ||
# [http://www.security-database.com/dashboard.php Security-Database vulnerabilities dashboard scored with CVSS and other Open Standards CVE, CPE, CWE, CAPEC, OVAL] | # [http://www.security-database.com/dashboard.php Security-Database vulnerabilities dashboard scored with CVSS and other Open Standards CVE, CPE, CWE, CAPEC, OVAL] | ||
# Heise online |ID=5031983 |Titel=Von niedrig bis kritisch: Schwachstellenbewertung mit CVSS | # Heise online |ID=5031983 |Titel=Von niedrig bis kritisch: Schwachstellenbewertung mit CVSS | ||
== Siehe auch == | |||
[[Kategorie:Informationssicherheit/Assessment]] | [[Kategorie:Informationssicherheit/Assessment]] | ||
/noinclude> | |||
Version vom 22. Mai 2023, 19:13 Uhr
Common Vulnerability Scoring System (CVSS) - Industriestandard zur Bewertung von Sicherheitslücken in Computer-Systemen
Beschreibung
- CVSS („Allgemeines Bewertungssystem für Schwachstellen“)
- ist ein Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen.
- Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten Metrics, bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann.
- CVSS ist selbst kein System zur Warnung vor Sicherheitslücken, sondern ein Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen.
- Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht erreicht, da unverändert identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden
- CVSS wurde 2005 vom National Infrastructure Advisory Council (NIAC), einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit, in Auftrag gegeben und wird derzeit durch das Forum of Incident Response and Security Teams betreut.
- Den derzeitigen Vorsitz der Arbeitsgruppe CVSS-SIG team hat David Ahmad von Symantec.
In die Entwicklung von CVSS sind eingebunden: CERT, Cisco, DHS/MITRE, eBay, IBM, Microsoft, Qualys, Symantec. CVSS wird ferner unterstützt von HP, McAfee, Oracle, und Skype.
Im Juni 2007 wurde die zweite Version des Scoring Systems veröffentlicht.
- Mit CVSSv3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metrik die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte.
Anhang
Siehe auch
- Common Criteria for Information Technology Security Evaluation (IEC, ISO)
- Common Weakness Scoring System (CWSS™, MITRE)
- Common Vulnerabilities and Exposures (CVE, ITU)
Links
Projekt
Weblinks
- https://de.wikipedia.org/wiki/CVSS
- http://www.first.org/cvss the Forum of Incident Response Teams FIRST CVSS site]
- National Vulnerability Database NVD CVSS site
- Common Vulnerability Scoring System Version 3.1 Calculator
- Common Weakness Scoring System Version 1.0.1 Calculator
- Security-Database online CVSS 2.0 calculator
- A list of early adopters
- All software/hardware vulnerabilities are CVSS scored and can be viewed at the NVD site
- Security-Database vulnerabilities dashboard scored with CVSS and other Open Standards CVE, CPE, CWE, CAPEC, OVAL
- Heise online |ID=5031983 |Titel=Von niedrig bis kritisch: Schwachstellenbewertung mit CVSS
Siehe auch
/noinclude>