(= The Common Vulnerability Scoring System,
"nõrkuste hindamise ühissüsteem")

olemus
avatud valdkonnastandard
nõrkuse tõsiduse hindamiseks ning
reageerimise pakilisuse ja prioriteedi määramiseks,
taotleb hindamissüsteemide ühildamist;
2005- CERT/CC, Cisco, IBM, Microsoft, Symantec jt,
praegu hooldab FIRST
=
a free and open industry standard for assessing the severity of computer system security vulnerabilities

põhikriteeriumid
- ründevektor: võrk/naabrus/lokaalne/füüsiline
- ründe keerukus: väike/suur
- vajalikud privileegid: mitte mingid/madalad/kõrged
- kasutaja interaktsioon: pole vajalik/on vajalik
- toimeulatus: muutumatu/muutuv
- konfidentsiaalsuse kadu: puudub/väike/suur
- tervikluse kadu: puudub/väike/suur
- käideldavuse kadu: puudub/väike/suur

lisakriteeriumid
- 3 hetkepõhist
- 11 keskkonnapõhist

näiteid
https://www.first.org/cvss/examples

ülevaateid
https://en.wikipedia.org/wiki/Common_Vulnerability_Scoring_System

https://www.balbix.com/insights/understanding-cvss-scores/

https://www.first.org/cvss/specification-document

veebisait
http://www.first.org

vt ka
- CVE
- CWSS