Skip to content
体验新版
项目
组织
正在加载...
登录
切换导航
打开侧边栏
openeuler
security-committee
提交
f64abe4f
S
security-committee
项目概览
openeuler
/
security-committee
通知
3
Star
0
Fork
0
代码
文件
提交
分支
Tags
贡献者
分支图
Diff
Issue
0
列表
看板
标记
里程碑
合并请求
0
Wiki
0
Wiki
分析
仓库
DevOps
项目成员
Pages
S
security-committee
项目概览
项目概览
详情
发布
仓库
仓库
文件
提交
分支
标签
贡献者
分支图
比较
Issue
0
Issue
0
列表
看板
标记
里程碑
合并请求
0
合并请求
0
Pages
分析
分析
仓库分析
DevOps
Wiki
0
Wiki
成员
成员
收起侧边栏
关闭侧边栏
动态
分支图
创建新Issue
提交
Issue看板
前往新版Gitcode,体验更适合开发者的 AI 搜索 >>
提交
f64abe4f
编写于
3月 24, 2020
作者:
O
openeuler-ci-bot
提交者:
Gitee
3月 24, 2020
浏览文件
操作
浏览文件
下载
差异文件
!2 upload security-rating file
Merge pull request !2 from liujingang09/security-rating
上级
5208f5f7
65e55621
变更
1
隐藏空白更改
内联
并排
Showing
1 changed file
with
44 addition
and
0 deletion
+44
-0
security-rating.md
security-rating.md
+44
-0
未找到文件。
security-rating.md
0 → 100644
浏览文件 @
f64abe4f
# 严重性评估--我们如何进行漏洞评分
业界普遍使用CVSS标准评估漏洞的严重性,openEuler在使用CVSSv3进行漏洞评估时,需要设定漏洞攻击场景,基于在该攻击场景下的实际影响进行评估。漏洞严重等级评估是指针对漏洞利用难易程度,以及利用后对机密性、完整性、可用性的影响进行评估,并生成一个评分值。
## CVSSv3基本指标
CVSS v3基本指标组涵盖了漏洞的各个方面:
-
攻击向量(AV)-表示攻击的“远程性”以及如何利用此漏洞。
-
攻击复杂性(AC)-讲述攻击执行的难度以及成功进行攻击需要哪些因素。
-
用户交互(UI)-确定攻击是否需要用户参与。
-
所需的权限(PR)-记录成功进行攻击所需的用户身份验证级别。
-
范围(S)-确定攻击者是否可以影响具有不同权限级别的组件。
-
机密性(C)-衡量信息泄露给非授权方后导致的影响程度。
-
完整性(I)-衡量信息被篡改后导致的影响程度。
-
可用性(A)-衡量用户在需要访问数据或服务时受影响的程度。
## 严重等级评估
基于CVSSv3评估标准,主要使用基础度量指标进行漏洞严重等级的评估,基础度量指标包含可利用性指标及影响指标。
可利用性指标反映漏洞组件的特征。每个可利用性指标根据漏洞组件打分,反映能导致成功攻击的漏洞属性。
影响指标指的是受影响组件的属性,根据成功攻击后影响最严重的组件进行打分,分析者应该将影响限制在合理的最终结果,确信攻击者能够达成这一结果。
### 评估原则
-
评估漏洞的严重等级,不是评估风险。
-
评估时必须基于攻击场景,且保证在该场景下,攻击者成功攻击后能对系统造成机密性、完整性、可用性影响。
-
当安全漏洞有多个攻击场景时,应以造成最大的影响,即CVSS评分最高的攻击场景为依据。
-
被嵌入调用的库存在漏洞,要根据该库在产品中的使用方式,确定漏洞的攻击场景后进行评估。
-
安全缺陷不能被触发或不影响CIA(机密性/完整性/可用性),CVSS评分为0分。
### 评估步骤
对漏洞进行评估时,可根据下述步骤进行操作:
1.
设定可能的攻击场景,基于攻击场景评分;
2.
确定漏洞组件(Vulnerable Component)和受影响组件(Impact Component);
3.
选择基础指标的值:
-
可利用指标(攻击向量/攻击复杂度/所需权限/用户交互/范围)根据漏洞组件选择指标值。
-
影响指标(机密性/完整性/可用性)要么反映对漏洞组件的影响,要么反映对受影响组件影响,以结果最严重的为准。
### 评估结果
在评估漏洞严重级别时,评估人员需要输出以下内容
1.
漏洞原理
2.
该漏洞的攻击场景及产生的危害
3.
评估指标值判定说明,确保每个CVSS指标值的判定有对应的依据
### 严重等级划分
|严重等级(Severity Rating) | CVSS评分(Score)|
| ----------------- | -------------- |
| 致命(Critical) | 9.0 - 10.0 |
| 高(High) | 7.0 - 8.9 |
| 中(Medium) | 4.0 - 6.9 |
| 低(Low) | 0.1 - 3.9 |
| 无(None) | 0.0 |
## 和NVD评估分数差异说明
CVSS基础评分与受影响组件的版本号,提供和使用的方式,平台以及软件的编译方式相关,NVD评分考虑了漏洞被利用的所有场景,而openEuler是基于上游社区自己构建的,主要应用于服务器场景,所以对于openEuler开源产品来说,直接采用NVD评分是不合适的,因此openEuler对所有受影响的CVE有自己的评分,并且多数打分可能和NVD不同。
\ No newline at end of file
编辑
预览
Markdown
is supported
0%
请重试
或
添加新附件
.
添加附件
取消
You are about to add
0
people
to the discussion. Proceed with caution.
先完成此消息的编辑!
取消
想要评论请
注册
或
登录