cvss-v31-specification_r1通用漏洞评分系统 3.1 版本规范文档译文 .docxVIP

通用漏洞评分系统3.1版本规范文档

修订版1

通用漏洞评分系统（CVSS）是一个开放框架，用于传达软件漏洞的特征和严重性。CVSS包含三个指标组：基础、时间和环境。基础组表示漏洞随时间推移和跨用户环境保持不变的固有品质，时间组反映随时间变化的漏洞特征，环境组表示漏洞在用户环境中独有的特征。基础指标产生一个从0到10的分数，然后可以通过评分时间指标和环境指标进行调整。CVSS分数还以向量字符串表示，这是用于计算分数的值的压缩文本表示。本文件提供了CVSS版本3.1的正式规范。

最新的CVSS资源可以在/cvss/找到

CVSS由美国非营利组织FIRST.Org,Inc.（FIRST）拥有和管理，其使命是帮助世界各地的计算机安全事件响应团队。FIRST保留定期更新CVSS和本文件的自主权。虽然FIRST拥有CVSS的所有权和利益，但它免费向公众授权使用，以下条件适用。使用或实施CVSS不需要是FIRST的成员。然而，FIRST确实要求任何使用CVSS的个人或实体在适用的情况下给予适当的归属，说明CVSS由FIRST拥有并由其许可使用。此外，FIRST要求任何发布分数的个人或实体在使用条件中遵守本文件中描述的指南，并提供分数和评分向量，以便他人了解分数是如何得出的。

目录

1.引言............................................................................................................................................................3

1.1.指标.....................................................................................................................................................3

1.2.评分.......................................................................................................................................................5

2.基础指标........................................................................................................................................................6

2.1.可利用性指标.............................................................................................................................................6

2.1.1.攻击向量(AV)............................................................................................................................6

2.1.2.攻击复杂度(AC)........................................................................................................................8

2.1.3.所需权限(PR)....................................................................................................92.1.4.用户交互（UI）............................................................................................................................9

2.2.范围(S).....................................................................