Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST), CVSS v3.0’ın Haziran 2015’te piyasaya sürülmesinden sekiz yıldan fazla bir süre sonra, Ortak Güvenlik Açığı Puanlama Sistemi standardının yeni nesli olan CVSS v4.0’ı resmi olarak duyurdu.
FIRST, yaptığı açıklamada, “CVSS 4.0’ın bu son sürümü, hem endüstri hem de halk için en yüksek doğrulukta güvenlik açığı değerlendirmesi sağlamayı amaçlıyor.” dedi.
CVSS, temel olarak bir güvenlik açığının temel teknik özelliklerini yakalamanın ve bunun ciddiyetini gösteren sayısal bir puan üretmenin bir yolunu sağlar. Skor, kuruluşların güvenlik açığı yönetimi süreçlerine öncelik vermelerine yardımcı olmak için düşük, orta, yüksek ve kritik gibi çeşitli düzeylere çevrilebilir.
Temmuz 2019’da yayınlanan CVSS v3.1’in temel güncellemelerinden biri, “CVSS’nin bir güvenlik açığının ciddiyetini ölçmek için tasarlandığını ve riski değerlendirmek için tek başına kullanılmaması gerektiğini” vurgulamak ve açıklığa kavuşturmaktı.
CVSS v3.1 aynı zamanda puanlama ölçeğindeki genel ayrıntı eksikliği ve sağlık, insan güvenliği ve endüstriyel kontrol sistemlerini yeterince temsil edememesi nedeniyle de eleştirilere maruz kaldı.
Standardın en son revizyonu, güvenlik açığı değerlendirmesi için Güvenlik (S), Otomatikleştirilebilir (A), Kurtarma (R), Değer Yoğunluğu (V), Güvenlik Açığı Müdahale Çabası (RE) gibi çeşitli ek ölçümler sağlayarak bu eksikliklerden bazılarını gidermeyi amaçlamaktadır. ) ve Sağlayıcı Aciliyeti (U).
Ayrıca, Temel (CVSS-B), Temel + Tehdit (CVSS-BT), Temel + Çevresel (CVSS-BE) ve Temel + Tehdit + Çevresel (CVSS-BTE) kombinasyonunu kullanarak CVSS puanlarını numaralandırmak için yeni bir terminolojiyi de tanıttı. şiddet dereceleri.
FIRST, fikrin “CVSS’nin sadece Temel puan olmadığı kavramını güçlendirmek” olduğunu belirterek, “bu terminolojinin sayısal bir CVSS değerinin görüntülendiği veya iletildiği her yerde kullanılması gerektiğini” ekledi.
Ayrıca, “CVSS Temel Puanı, ortamın analizi (Çevresel Ölçütler) ve zaman içinde değişebilecek niteliklerle (Tehdit Ölçüleri) desteklenmelidir” dedi.