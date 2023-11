La dernière version du Common Vulnerability Scoring System (CVSS) a introduit des changements importants pour résoudre les problèmes qui affligent le système. CVSS est un cadre utilisé pour évaluer la gravité et l'impact des vulnérabilités des systèmes informatiques.

L'une des mises à jour clés de CVSS version 4 est la réduction de l'accent mis sur le score de base. Dans la version précédente, des métriques facultatives étaient disponibles pour tempérer le score de base. Cependant, la version 4 a introduit des métriques supplémentaires telles que les métriques de menace, les métriques environnementales et les métriques supplémentaires. Ces nouvelles mesures visent à mesurer la probabilité qu’un exploit soit utilisé.

De plus, la version 4 de CVSS permet désormais plusieurs scores pour une vulnérabilité donnée. Au lieu de s'appuyer uniquement sur le score de base initial, un nouveau score de base est calculé pour chaque programme en aval qui utilise la bibliothèque vulnérable. Cette approche prend en compte le contexte spécifique et l'impact de la vulnérabilité dans différents scénarios.

Une autre amélioration notable est la granularité accrue de la notation. L'ajout de « Exigences d'attaque » permet d'évaluer si une vulnérabilité dépend d'autres facteurs d'exploitabilité. De plus, la métrique Interaction utilisateur inclut désormais trois états : aucun, passif ou actif.

La réponse de l'industrie à la version 4 de CVSS a été prudemment optimiste. Même si cela ne résout pas tous les problèmes, ces mises à jour devraient fournir des évaluations de vulnérabilité plus précises et plus nuancées. L’espoir est qu’il y aura moins de vulnérabilités avec des scores exagérés et une meilleure compréhension de la manière dont CVSS est signalé.

QFP

Qu’est-ce que le CVSS ?

CVSS signifie Système commun de notation des vulnérabilités. Il s'agit d'un cadre utilisé pour évaluer la gravité et l'impact des vulnérabilités des systèmes informatiques.

Quelles sont les améliorations de CVSS version 4 ?

CVSS version 4 introduit de nouvelles métriques telles que les métriques de menace, les métriques environnementales et les métriques supplémentaires. Il permet également d'obtenir plusieurs scores pour une vulnérabilité donnée et offre une granularité accrue dans la notation.

Comment la version 4 de CVSS résout-elle les problèmes du système ?

Les nouvelles mesures de CVSS version 4 sont conçues pour mesurer la probabilité qu'un exploit soit utilisé et pour fournir une évaluation plus précise des vulnérabilités. Les multiples scores pour une vulnérabilité donnée prennent en compte le contexte spécifique de la vulnérabilité dans différents scénarios. La granularité accrue de la notation permet une compréhension plus nuancée des vulnérabilités.

Sources:

– [Site Web CVSS](https://www.first.org/cvss/)

– [Spécification CVSS version 4](https://www.first.org/cvss/spécification-document)