# 严重性评估--我们如何进行漏洞评分
业界普遍使用CVSS标准评估漏洞的严重性，openEuler在使用CVSSv3进行漏洞评估时，需要设定漏洞攻击场景，基于在该攻击场景下的实际影响进行评估。漏洞严重等级评估是指针对漏洞利用难易程度，以及利用后对机密性、完整性、可用性的影响进行评估，并生成一个评分值。
## CVSSv3基本指标
CVSS v3基本指标组涵盖了漏洞的各个方面：
- 攻击向量（AV）-表示攻击的“远程性”以及如何利用此漏洞。
- 攻击复杂性（AC）-讲述攻击执行的难度以及成功进行攻击需要哪些因素。
- 用户交互（UI）-确定攻击是否需要用户参与。
- 所需的权限（PR）-记录成功进行攻击所需的用户身份验证级别。
- 范围（S）-确定攻击者是否可以影响具有不同权限级别的组件。
- 机密性（C）-衡量信息泄露给非授权方后导致的影响程度。
- 完整性（I）-衡量信息被篡改后导致的影响程度。
- 可用性（A）-衡量用户在需要访问数据或服务时受影响的程度。
## 严重等级评估
基于CVSSv3评估标准，主要使用基础度量指标进行漏洞严重等级的评估，基础度量指标包含可利用性指标及影响指标。
可利用性指标反映漏洞组件的特征。每个可利用性指标根据漏洞组件打分，反映能导致成功攻击的漏洞属性。
影响指标指的是受影响组件的属性，根据成功攻击后影响最严重的组件进行打分，分析者应该将影响限制在合理的最终结果，确信攻击者能够达成这一结果。
### 评估原则
- 评估漏洞的严重等级，不是评估风险。
- 评估时必须基于攻击场景，且保证在该场景下，攻击者成功攻击后能对系统造成机密性、完整性、可用性影响。
- 当安全漏洞有多个攻击场景时，应以造成最大的影响，即CVSS评分最高的攻击场景为依据。
- 被嵌入调用的库存在漏洞，要根据该库在产品中的使用方式，确定漏洞的攻击场景后进行评估。
- 安全缺陷不能被触发或不影响CIA(机密性/完整性/可用性)，CVSS评分为0分。
###	评估步骤
对漏洞进行评估时，可根据下述步骤进行操作：
1.	设定可能的攻击场景，基于攻击场景评分；
2.	确定漏洞组件（Vulnerable Component）和受影响组件（Impact Component）；
3.	选择基础指标的值：
- 可利用指标（攻击向量/攻击复杂度/所需权限/用户交互/范围）根据漏洞组件选择指标值。
- 影响指标（机密性/完整性/可用性）要么反映对漏洞组件的影响，要么反映对受影响组件影响，以结果最严重的为准。
###	评估结果
在评估漏洞严重级别时，评估人员需要输出以下内容
1.	漏洞原理
2.	该漏洞的攻击场景及产生的危害
3.	评估指标值判定说明，确保每个CVSS指标值的判定有对应的依据
###	严重等级划分
|严重等级（Severity Rating） |	CVSS评分（Score）|
| -----------------        |  --------------  |
|  致命（Critical）	    |    9.0 - 10.0 |
|  高（High）	        |    7.0 - 8.9  |
|  中（Medium）	        |    4.0 - 6.9  |
|  低（Low）	        |    0.1 - 3.9  |
|  无（None）	        |       0.0     |
##	和NVD评估分数差异说明
CVSS基础评分与受影响组件的版本号，提供和使用的方式，平台以及软件的编译方式相关，NVD评分考虑了漏洞被利用的所有场景，而openEuler是基于上游社区自己构建的，主要应用于服务器场景，所以对于openEuler开源产品来说，直接采用NVD评分是不合适的，因此openEuler对所有受影响的CVE有自己的评分，并且多数打分可能和NVD不同。