作者:啸风
【赛迪网讯】2月23日消息,包括思科、微软和赛门铁克在内的领先IT厂商计划建立了一套评级体系,对软件的安全漏洞进行标准评估。
pcworld称,该计划名为“普遍漏洞评级体系”(CVSS),于上周在旧金山举行的RSA
大会上首次亮相。思科公司研究人员Mike Schiffman表示,如果该体系能够广泛推广,将代替此前由软件提供厂商各自评级的混乱状况,而由统一语言对电脑安全漏洞的严重性进行评估。
该评估体系是国家基础设施顾问委员会(NIAC)实施项目的一个部分,该项目旨在建立一套全球范围内的披露软件安全漏洞信息的框架机制。CVSS体系得到了众多来自政府及业界代表的支持,其中包括EBay、Qualys、互联网安全体系和Mitre。
NIAC是美国国土安全部下属的一个机构,主要负责信息安全体系并对银行、金融、交通运输、能源和制造业等重要的基础设施网络提供支持。
安全解决方案厂商Qualys的代表Gerhard Eschelbeck表示,CVSS体系将使用标准数学方程对新发现漏洞进行评估,其基础信息包括该漏洞能否被远程利用、攻击者实施攻击前是否必须登录存在漏洞的系统等。CVSS评级体系还考虑了时间因素,比如软件安全补丁推出的速度等等。
IT安全产品提供商将使用CVSS体系来对自己的产品进行评估并对软件的安全性能进行排序。
尽管CVSS得到重量级IT厂商的支持,但截止目前该体系还没有一个主要的执行者。组织者考虑让NIAC或Mitre等厂商主要承担CVSS的运行,并建立网站向网络用户及IT提供商提供信息。
版权所有 新浪网