(= The Common Vulnerability Scoring System,
"nõrkuste hindamise ühissüsteem")

olemus
avatud valdkonnastandard:
- nõrkuse tõsiduse hindamiseks ning
- reageerimise pakilisuse ja prioriteedi määramiseks
- taotleb hindamissüsteemide ühildamist
- 2005- CERT/CC, Cisco, IBM, Microsoft, Symantec jt
- praegu hooldab FIRST

põhikriteeriumid
- ründevektor: võrk/naabrus/lokaalne/füüsiline
- ründe keerukus: väike/suur
- vajalikud privileegid: mitte mingid/madalad/kõrged
- kasutaja interaktsioon: pole vajalik/on vajalik
- toimeulatus: muutumatu/muutuv
- konfidentsiaalsuse kadu: puudub/väike/suur
- tervikluse kadu: puudub/väike/suur
- käideldavuse kadu: puudub/väike/suur

lisakriteeriumid
- 3 hetkepõhist
- 11 keskkonnapõhist

näiteid
https://www.first.org/cvss/examples

ülevaateid
https://www.balbix.com/insights/understanding-cvss-scores/

https://www.first.org/cvss/specification-document

veebisait
http://www.first.org

vt ka
- CVE
- CWSS