CVSS Common Vulnerability Scoring System
给漏洞打严重性分数的标准化体系,0.0 - 10.0。
每个 CVE 通常配一个 CVSS 分。安全团队拿这个数排补丁优先级——分数越高越要先打。
分数等级
| 区间 | 等级 | 现实含义 |
|---|---|---|
| 9.0 - 10.0 | Critical | 火警,放下手头一切去打补丁 |
| 7.0 - 8.9 | High | 这周内必须修 |
| 4.0 - 6.9 | Medium | 排进下个迭代 |
| 0.1 - 3.9 | Low | 知道就行,有空再说 |
| 0.0 | None | 没影响 |
评分维度
CVSS 不是拍脑袋,有公式。主要看:
- 攻击向量(网络/邻接/本地/物理)—— 远程能打的更严重
- 攻击复杂度(低/高)
- 权限要求 —— 不需要登录就能打的更严重
- 用户交互 —— 不需要骗用户点的更严重
- 影响范围 —— 能跨边界扩散吗
- CIA 影响 —— 对 可用性各打多少分
局限
CVSS 只看技术严重性,不看你的业务上下文。一个 10.0 的漏洞如果在内网孤岛主机上,实际风险可能比一个 6.5 的边缘网关漏洞低。CVSS 是起点,不是终点。