logo
Ordliste CVSS (Common Vulnerability Scoring System)

CVSS (Common Vulnerability Scoring System)

TL;DR

CVSS er en standard måde at sige hvor alvorlig en sikkerhedsfejl er. Det giver hver sårbarhed en score fra 0 til 10, så teams ved, hvad der skal rettes først.

Tænk på det sådan her:

  • 0.0 → Intet problem
  • 10.0 → Slip alt og ret det nu

Hvad er CVSS?

CVSS er et gratis, bredt anvendt scoringssystem for sikkerhedssårbarheder. Det vedligeholdes af en branchegruppe kaldet FIRST, og det bruges stort set af alle inden for sikkerhed.

Hver sårbarhed får et tal mellem 0.0 og 10.0 baseret på ting som:

  • Hvor let det er at udnytte
  • Om det kan angribes eksternt
  • Hvor meget skade kan det forårsage?

I enkle termer: CVSS er et termometer for softwarefejl.

Hvorfor CVSS er vigtigt

Uden CVSS ville alle beskrive alvorligheden forskelligt. En leverandør kunne sige, at en fejl er “kritisk”, mens en anden kalder den “medium”. CVSS giver alle et fælles sprog.

Det er vigtigt fordi:

  • Det fortæller teams, hvad der skal rettes først De fleste virksomheder sætter regler som: “Alt over 9.0 skal rettes inden for 48 timer.”
  • Det bruges af sårbarhedsdatabase National Vulnerability Database (NVD) tildeler CVSS-scorer til næsten hver CVE, hvilket gør det muligt for værktøjer automatisk at sortere tusindvis af problemer.
  • Det fjerner gætterier I stedet for at diskutere, hvor slemt en fejl føles, tvinger CVSS dig til at se på konkrete faktorer som udnyttelsesmulighed og påvirkning.

Hvordan CVSS fungerer

CVSS har tre typer af scorer. De fleste gange vil du kun se den første.

1. Basisscore (den som alle bruger)

Dette måler, hvor alvorlig sårbarheden er i sig selv, uanset hvor den er implementeret.

Den ser på spørgsmål som:

  • Kan dette udnyttes over internettet?
  • Er det nemt eller svært at udføre?
  • Skal angriberen have en login?
  • Skal de narre en bruger?
  • Hvad sker der, hvis det udnyttes? (datatyveri, systemovertagelse, nedetid)

Dette er den score, du normalt ser i CVE-lister.

2. Temporær score (nogle gange brugt)

Dette justerer scoren baseret på, hvad der sker lige nu.

For eksempel:

  • Er der offentlig udnyttelseskode? (Scoren stiger)
  • Er der en patch tilgængelig? (Scoren falder)

3. Miljøscore (avanceret, valgfri)

Dette tilpasser scoren til dit miljø.

For eksempel:

  • Er systemet kun internt? (Mindre alvorligt)
  • Indeholder det kundedata? (Mere alvorligt)

Et rigtigt eksempel: Log4j

Log4j (Log4Shell) er en af de mest berømte sårbarheder nogensinde.

Dens CVSS-score var 10.0 (Kritisk).

Hvorfor?

  • Det kunne udnyttes eksternt
  • Det krævede ingen login
  • Det var nemt at udnytte
  • Det tillod fuld systemkompromittering

Hvem bruger CVSS?

  • Softwareleverandører til at forklare, hvor alvorlig en fejl er
  • Sikkerhedsteams til at fokusere på de farligste problemer
  • Revisorer til at kontrollere, om sårbarheder er rettet i tide

CVSS Score Ranges (v3.1)

Her er, hvordan tallene normalt oversættes:

  • 0.0 → Ingen problem
  • 0.1–3.9 → Lav (fix senere)
  • 4.0–6.9 → Medium (fix snart)
  • 7.0–8.9 → Høj (fix hurtigt)
  • 9.0–10.0 → Kritisk (fix med det samme)

Bedste Praksis (Vigtigt)

  • Stol ikke kun på CVSS CVSS måler alvorlighed, ikke risiko. En kritisk fejl på en server, der er slukket, er ikke en reel trussel.
  • Kombiner CVSS med sandsynlighed Par CVSS med EPSS for at se, hvilke fejl der faktisk sandsynligvis vil blive udnyttet.
  • Tilpas til dit miljø En fejl på en testserver er ikke det samme som en fejl på en produktionsdatabase.
  • Kend versionerne CVSS v4.0 findes, men v3.1 er stadig den mest almindeligt anvendte i dag.

Undgå Alarmtræthed

At finde sikkerhedsproblemer er kun nyttigt, hvis dit team ved hvad der skal fikses først. At oversvømme ingeniører med hundredevis af alarmer forbedrer ikke sikkerheden; det skaber alarmtræthed

Plexicus hjælper ved at rangere sårbarheder, så dit team kan fokusere på det, der virkelig betyder noget. I stedet for at behandle hvert problem ens, bruger Plexicus nogle få enkle metrikker til at guide prioritering.

1) Prioritet

Hvad det betyder: Hvor presserende dette problem virkelig er

Prioritet er en score fra 0 til 100, der samler alt i ét tal:

  • Teknisk alvorlighed (CVSS v4)
  • Forretningspåvirkning
  • Hvor sandsynligt det er at blive udnyttet

Dette er din handlingsliste. Sortér efter Prioritet og start fra toppen.

  • Prioritet 85 → Drop alt og fix dette nu
  • Prioritet 45 → Vigtigt, men det kan vente til næste sprint

Eksempel

Et SQL-injektionsproblem i et internt værktøj, der:

  • Kun er tilgængeligt via virksomhedens VPN
  • Ikke gemmer følsomme data

Scorer:

  • CVSS v4: 8.2 (teknisk alvorligt)
  • Forretningspåvirkning: 45 (internt værktøj, begrænset eksponering)
  • Eksploit-tilgængelighed: 30 (kræver login)
  • Prioritet: 48

Hvorfor prioritet betyder noget

Hvis du kun kiggede på CVSS-scoren, kunne du gå i panik, fordi 8.2 lyder skræmmende. Prioritet sætter problemet i kontekst og siger: “Dette er reelt, men ikke presserende. Fix det næste sprint.”

Det holder teams fokuseret på reel risiko i stedet for at reagere på hver høj CVSS-score.

2) Påvirkning

Hvad det betyder: Hvor slemt det bliver, hvis dette udnyttes

Påvirkning scores fra 0 til 100 og afspejler de forretningsmæssige konsekvenser, ikke kun de tekniske. Det ser på ting som:

  • Er kundedata involveret?
  • Er dette system kritisk for driften?
  • Er der overholdelses- eller regulatoriske risici?

Eksempel

  • SQL-injektion i en offentlig kundedatabase → Påvirkning 95
  • Det samme problem i et internt testmiljø → Påvirkning 30

Samme fejl, meget forskellig forretningsrisiko.

3) EPSS

Hvad det betyder: Hvor sandsynligt det er, at angribere vil udnytte dette

EPSS forudsiger chancen for, at en sårbarhed vil blive udnyttet i den virkelige verden inden for de næste 30 dage. Det spænder fra 0.0 til 1.0.

Eksempel

  • En gammel sårbarhed med CVSS 9.0 men ingen aktive angreb → EPSS 0.01
  • En nyere sårbarhed med CVSS 6.0 som angribere aktivt bruger → EPSS 0.85

EPSS hjælper dig med at fokusere på, hvad angribere interesserer sig for lige nu, ikke bare hvad der ser dårligt ud på papiret.

Sådan bruger du disse metrikker i Plexicus

  1. Forbind dit repository og vent på, at scanningen er færdig
  2. Gå til Findings-siden
  3. Sorter og filtrer efter Prioritet for at beslutte, hvad der skal rettes først

plexicus-priority-remediation

Relaterede termer

CVSS FAQ

Hvad er den højeste CVSS-score?

10.0. Det betyder, at fejlen er let at udnytte og forårsager stor skade.

Er en 9.0 altid værre end en 7.0?

På papiret, ja. I virkeligheden, ikke altid. En 7.0, der aktivt udnyttes, kan være farligere end en 9.0, som ingen bruger.

Hvem fastsætter CVSS-scoren?

Normalt softwareleverandøren eller NVD. Nogle gange gør sikkerhedsforskere det.

Kan jeg ændre en CVSS-score internt?

Ja. Mange teams justerer scorer for at afspejle deres virkelige opsætning, især hvis de har stærke beskyttelser på plads.

Næste Skridt

Klar til at sikre dine applikationer? Vælg din vej fremad.

Start Gratis Prøveperiode

Prøv Plexicus risikofrit i 14 dage

Se Priser

Gennemsigtig prissætning for teams af alle størrelser

Deltag i fællesskabet

Deltag i vores globale fællesskab

Læs dokumentation

Læs vores omfattende dokumentation

Deltag i 500+ virksomheder, der allerede sikrer deres applikationer med Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready