Le Forum of Incident Response and Security Teams a officiellement publié CVSS v4.0, la nouvelle génération de sa norme Common Vulnerability Scoring System, huit ans après CVSS v3.0, la version majeure précédente.
CVSS est un cadre normalisé d’évaluation de la gravité des vulnérabilités en matière de sécurité des logiciels, utilisé pour attribuer des notes numériques ou une représentation qualitative basée sur l’exploitabilité, l’impact sur la confidentialité, l’intégrité, la disponibilité et les privilèges requis, les notes les plus élevées dénotant des vulnérabilités plus graves.
Plusieurs mesures supplémentaires pour l’évaluation des vulnérabilités ont été ajoutées, notamment l’automatisabilité, la récupération, la densité de valeur, l’effort de réponse aux vulnérabilités et l’urgence pour le fournisseur ».
Cette dernière version ajoute également une nouvelle nomenclature, avec des niveaux de gravité Base, Base + Menace, Base + Environnement, et Base + Menace + Environnement.
La liste complète de tous les changements apportés à la norme CVSS v4.0, y compris une granularité plus fine grâce à de nouvelles mesures/valeurs de base et de meilleures mesures d’impact, est disponible ici.
FIRST a dévoilé CVSS 4.0 en juin, lors de sa 35e conférence annuelle à Montréal, au Canada, en tant que « changement de jeu dans le secteur du cyberespace », 18 ans après la publication de la version 1 de CVSS en février 2005.
