近日，事故响应与安全团队论坛（FIRST）正式发布了通用漏洞评分系统标准CVSSv4.0，这个全新版本距离上一版CVSSv3.0已经过去了八年。CVSS是评估软件安全漏洞严重性的标准化框架，可根据可利用性、可依据保密性、完整性、可用性和所需权限的影响等因素进行评分，或以低、中、高和关键几种等级定性，最终分数越高则表示漏洞越严重。这种评估方法可能够通过漏洞的影响来比较不同系统和软件的风险，有助于人们优先应对安全威胁。FIRST方面表示：这一版修订后的评估标准为消费者提供了更加精细的基础指标，消除了之前模糊的下游评分，简化了威胁指标，并提高了评估特定环境安全要求和补偿控制的有效性。此外，新版标准还

CVSSCVSS全称为CommonVulnerabilityScoringSystem，即“通用漏洞评分系统”，是一个行业公开的标准。其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度。通过漏洞难易程度以及对机密性、完整性、可用性的影响综合评估后，生成一个0到10分之间的评分值来评估漏洞的严重程度。漏洞等级CVSS2.0对漏洞等级的定义有低、中、高三个级别，CVSS3.0开始补充了“严重”这个级别vectorCVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:HAV(AttackVector)代表攻击途径AC(AttackComplexity)

CVSS,CommonVulnerabilityScoringSystem,即通用漏洞评分系统，简言之就是一个对安全漏洞进行打分的标准。网络安全人员按照CVSS评分的维度对漏洞打分，截至到今天，CVSS已经升级到3.1版本。实际上CVSS评分还有一些令人模糊的灰色地带，尤其是最具争议的Scope，本次就在这里解读一下关于Scope，到底该不该Changed。在线打分：推荐：https://cvss.js.org/官方：https://www.first.org/cvss/calculator/3.1CVSS基础解读如果你是网络安全相关的从业者，对CVSS一定不会陌生，其打分维度也比较简单，如下

01 引言近两年正如许多安全公司的研究员亲身经历的那样，网络攻击量显著增加，重大漏洞被相继爆出并伴随着在野利用。如去年年底的log4shell（CVE-2021-44228）和今年爆出的spring4shell（CVE-2022-22965）在安全圈里都掀起了不小的风浪。由于在分析spring漏洞时cve编号还没有出来，自评影响力也没那么“核弹级”，后续就没怎么关注这个漏洞的。最近突然想看看这个漏洞的CVSS评分，看看官方是怎么给这漏洞做影响力定义的。查看后发现该漏洞CVSSV2.0评分为7.5，CVSS3.1的评分为9.8。那么CVSS的评分依据究竟是什么？2.x和3.x的评分标准区别在哪？

一、CVSS到底是什么？虽然软件漏洞的潜在影响不应该被低估，但是对每个漏洞给予同等重要性是不科学的，同时也是不合理的。因此，我们需要一个专业评分标准对每个漏洞的严重程度进行优先级排序，以便企业和安全团队可以从容的理解和修复每个已知漏洞。于是CVSS应运而生。CVSS（The CommonVulnerabilityScoringSystem通用漏洞评分系统）是一个行业标准，由FIRST.org编写并更新。FIRST是一个总部设在美国的非营利组织，在全球拥有超过500个成员组织，它的权威性因此得到了有效的保证。CVSS提供了信息安全漏洞严重程度的数值，0-10代表不严重到致命威胁。CVSS评分通常