CVSS

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Das Common Vulnerability Scoring System (wörtlich übersetzt: „Gebräuchliches Verwundbarkeitsbewertungssystem“), abgekürzt CVSS, ist ein Industriestandard zur Beschreibung des Schweregrades von Sicherheitslücken in Computer-Systemen. Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten Metrics, bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann. CVSS ist selbst kein System zur Warnung vor Sicherheitslücken sondern ein Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen.[1]

CVSS wurde 2005 vom National Infrastructure Advisory Council (NIAC), einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit, in Auftrag gegeben[1] und wird derzeit durch das Forum of Incident Response and Security Teams[2] betreut. Den derzeitigen Vorsitz der Arbeitsgruppe CVSS-SIG team hat David Ahmad von Symantec.[3] In die Entwicklung von CVSS sind eingebunden: CERT, Cisco, DHS/MITRE, eBay, IBM, Microsoft, Qualys, Symantec.[1] CVSS wird ferner unterstützt von HP, McAfee, Oracle, und Skype.[4] Die derzeitige Version CVSS version 2 wurde erstmals im Juni 2007 der Öffentlichkeit vorgestellt.

Quellen[Bearbeiten]

  1. a b c http://www.first.org/cvss/faq/
  2. http://www.first.org/cvss
  3. http://www.first.org/cvss/team/
  4. http://www.first.org/cvss/eadopters.html

Weblinks[Bearbeiten]