Seite 5: Fazit und weiterführende Links

Inhaltsverzeichnis

CVSS v4.0 erlaubt mit neu hinzugekommenen sowie bereits bekannten, jedoch kleinteiliger aufgespaltenen Metriken eine differenziertere Schwachstellenbewertung als die Vorgängerversion. Die neue Version hat somit Potenzial für aussagekräftigere Bewertungen. In der Praxis wird die tatsächliche Aussagekraft allerdings stark davon abhängen, wie gewissenhaft Schwachstellen-Entdecker, CERTs und Hersteller bei der Anwendung vorgehen und ob sie sich vorab ausreichend mit den zahlreichen Metriken auseinandersetzen. Davon also ab, ob sie die neuen Auswahlmöglichkeiten als Chance oder als Zeitverschwendung betrachten.

Um sich selbst ein Bild von der neuen Version zu machen und mit den Metriken vertraut zu werden, können Sie sich mit der Public Preview des CVSS v4.0 Calculators nach Lust und Laune eigene Vektoren zusammenklicken. Eine detaillierte Aufschlüsselung und Beschreibung aller Metrikgruppen und Metriken in Textform bietet das Specification Document zu v4.0.

Wer sich primär für die Veränderungen gegenüber v3.1 interessiert, wird im User Guide fündig. Sehr ausführlich erläutert dieser unter anderem auch die neu eingeführte Unterscheidung zwischen Vulnerable System and Subsequent System. Kürzer und knackiger fassen die Präsentationsfolien zu CVSS v4.0 zentrale Neuerungen zusammen, wobei sie diese recht anschaulich mit bestehenden Kritikpunkten an der Vorgängerversion begründen.

Schließlich schlüsselt die Examples-Seite Gemeinsamkeiten und Unterschiede bestehender CVSS 4.0- und 3.1-Vektoren auf. Hier finden sich etwa auch Anwendungsbeispiele der Metrik "Safety" auf Schwachstellen in einem industriellen Steuerungssystem und in einem Produkt aus dem Healthcare-Bereich.

(des)