La note numérique peut être représentée sous la forme d’une évaluation qualitative de la gravité afin d’aider les organisations à évaluer correctement et à hiérarchiser leurs processus de gestion des vulnérabilités et à préparer des défenses contre les cyber-attaques.
La version 1 de CVSS a été publiée en février 2005. Elle a été développée par un petit groupe de pionniers dans le but d’être adoptée par l’ensemble du secteur, et le FIRST a été nommé en avril pour diriger le développement futur de ce qui allait devenir un outil essentiel dans l’arsenal du secteur.
Plus d’une douzaine de membres FIRST du groupe d’intérêt spécial CVSS ont collaboré intensivement en 2006 et 2007 pour réviser et améliorer la version 1 du CVSS en testant et en retestant des centaines de vulnérabilités réelles et en publiant la version 2 en juin 2007.
Une troisième version de l’outil a été développée en 2015 en introduisant le concept de « portée » pour gérer la notation des vulnérabilités qui existent dans un composant logiciel, mais qui ont un impact sur un autre composant logiciel, matériel ou réseau.
Enfin, une version 3.1 a été publiée en juin 2019, qui clarifie et améliore la version 3.0 sans introduire de nouvelles mesures ou valeurs, en améliorant la clarté des concepts pour améliorer la facilité d’utilisation globale de la norme et en ajoutant le cadre d’extensions CVSS.
Chris Gibson, PDG de FIRST, a déclaré : « Le système CVSS s’est rapidement développé au cours des 18 dernières années : « Le système CVSS s’est rapidement développé au cours des 18 dernières années, chaque version renforçant nos capacités de défense contre la cybercriminalité. Je suis immensément fier du CVSS-SIG pour le travail acharné et le dévouement dont il a fait preuve pour produire la version 4.0. Cette version arrive à point nommé, alors que nous continuons à observer une augmentation significative des menaces dans le monde entier ».