CVSS最近出版了新的版本CVSS4.0，新的版本与3.1版本有什么不同吗？ 它会带来哪些影响？本片文章主要目的是介绍3.1与4.0版本之间有什么不同，以及会带来什么变化。

再进入比较之前，先简单介绍一下什么是CVSS。

CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）是一个开放标准，用于评估和量化软件安全漏洞的严重程度。CVSS由FIRST（Forum of Incident Response and Security Teams，事件响应和安全团队论坛）维护，并得到了许多行业组织的支持。CVSS提供了一种标准化的方法，帮助组织和安全专业人员了解漏洞的风险级别，从而做出更有效的安全决策。

CVSS评分系统广泛应用于以下几个方面：

• 漏洞管理：帮助组织优先处理和修复高风险漏洞。
• 安全评估：评估系统的整体安全性，识别潜在的安全威胁。
• 风险管理：量化漏洞的风险，支持风险管理决策。
• 合规性：满足行业标准和法规要求，如ISO 27001、NIST等。

CVSS3.1 有什么缺点呢？

第一、CVSS3.1比较复杂，它引入了许多新的度量指标和评分规则，使得评分过程更加复杂。这要求评估人员具备较高的专业知识和经验。新用户可能需要花费较长时间来熟悉和掌握CVSS 3.1的评分方法和工具。

第二、主观性和一致性问题，某些度量指标（如攻击复杂度、用户交互等）依赖于评估者的主观判断，不同评估者可能会给出不同的评分。

第三、CVSS 3.1主要基于漏洞的静态特性进行评估，无法动态反映漏洞在实际环境中的影响和风险。评分系统没有考虑具体的业务环境、资产重要性等因素，可能导致评分与实际风险不完全匹配。

第四、有些影响因素没有考虑到，CVSS 3.1主要关注技术层面的风险，而忽略了业务层面的影响，如声誉损失、财务损失等。评分系统主要评估即时风险，而未能充分考虑漏洞的长期影响和潜在危害。

由于综上所述的原因，导致了CVSS3.1有评估的分数不能充分反映漏洞的可能的真实的影响结果，导致评估出来的分数不能充分和实际的结果相对应，进而影响了对漏洞的处理措施。

CVSS4与CVSS3.1的主要区别：

具体的指标可以参考：https://www.first.org/cvss/calculator/4.0 and Common Vulnerability Scoring System Version 3.1 Calculator.

CVSS4的主要改进：

CVSS 4.0（Common Vulnerability Scoring System 4.0）是CVSS的最新版本，于2023年10月正式发布。CVSS 4.0在多个方面进行了改进，旨在解决CVSS 3.x版本中的一些问题，并提供更精确和全面的漏洞评估方法。以下是CVSS 4.0的主要改进点：

第一、新的命名规则
    明确区分不同类型的评分：CVSS 4.0引入了新的命名规则，以明确区分不同类型的评分：
        CVSS-B：仅使用基础指标
        CVSS-BE：使用基础和环境指标
        CVSS-BT：使用基础和威胁指标
        CVSS-BTE：使用基础、威胁和环境指标

第二、具体指标项目的改进

•  新增“攻击要求”（Attack Requirements, AT）指标：用于捕捉漏洞利用所需的先决条件，提供比“攻击复杂度”更细粒度的信息。
•  “用户交互”（User Interaction, UI）指标细分：细分为“被动”（Passive）和“主动”（Active）两种，更精确地描述所需的用户交互程度。
•  移除“范围”（Scope）指标：代之以两组影响指标： 脆弱系统影响：机密性（VC）、完整性（VI）、可用性（VA）和 后续系统影响：机密性（SC）、完整性（SI）、可用性（SA）。

第三、新增补充指标组

    引入可选的“补充指标组”：提供额外的上下文信息，包括：安全影响：评估漏洞对人身安全、工业控制系统等的影响。

第四、评分计算方式的调整

    调整评分计算公式：CVSS 4.0对评分计算公式进行了调整，以更准确地反映漏洞的严重程度。
    更精细的评分粒度：通过引入新的指标和调整现有指标，提高了评分的粒度和精确度。例如：User Interaction的调整，分成主动和被动，根据主动和被动计算出来的分数是不一样的。

第五、提高易用性和透明度

    对标准给出了更清晰的解释，增加易用性，使得安全专业人员更容易理解和应用CVSS标准。通过引入新的命名规则和补充指标组，提高评分过程的透明度。

第六、支持更广泛的漏洞类型

   CVSS 4.0尝试解决之前版本在评估某些类型漏洞（如物理攻击、社会工程学攻击等）时的局限性，提供更广泛的适用性。

CVSS 4.0在多个方面进行了改进，旨在提供更精确、全面和灵活的漏洞评估方法。通过引入新的指标、调整评分计算方式、解决现有问题和提高易用性，CVSS 4.0为组织和安全专业人员提供了更好的工具来评估和管理软件安全漏洞的风险。这些改进有助于提高漏洞管理的效率和效果，支持更有效的安全决策。

https://turingpoint.de/en/blog/differences-between-cvss-v31-and-v40/

https://phoenix.security/cvss-v4-whats-new-and-how-does-it-differ-from-cvss-v3-1/

CVSS v4.0 User Guide

https://nvd.nist.gov/vuln-metrics/cvss/v4-calculator

NVD - CVSS v3 Calculator

Common Vulnerability Scoring System Version 4.0 Calculator