logo
Glosarium CVSS (Common Vulnerability Scoring System)

CVSS (Common Vulnerability Scoring System)

TL;DR

CVSS adalah cara standar untuk mengatakan seberapa parah sebuah bug keamanan. Ini memberikan setiap kerentanan skor dari 0 hingga 10 sehingga tim tahu apa yang harus diperbaiki terlebih dahulu.

Pikirkan seperti ini:

  • 0.0 → Tidak ada masalah
  • 10.0 → Tinggalkan semuanya dan perbaiki sekarang juga

Apa Itu CVSS?

CVSS adalah sistem penilaian gratis yang banyak digunakan untuk kerentanan keamanan. Ini dikelola oleh kelompok industri bernama FIRST, dan digunakan oleh hampir semua orang di bidang keamanan.

Setiap kerentanan mendapatkan angka antara 0.0 dan 10.0 berdasarkan hal-hal seperti:

  • Seberapa mudah dieksploitasi
  • Apakah dapat diserang dari jarak jauh
  • Seberapa besar kerusakan yang dapat ditimbulkan?

Dalam istilah sederhana:CVSS adalah termometer untuk bug perangkat lunak.

Mengapa CVSS Penting

Tanpa CVSS, setiap orang akan menggambarkan tingkat keparahan secara berbeda. Satu vendor mungkin mengatakan bug itu “kritis,” sementara yang lain menyebutnya “sedang.” CVSS memberikan bahasa bersama untuk semua orang.

Ini penting karena:

  • Ini memberi tahu tim apa yang harus diperbaiki terlebih dahuluSebagian besar perusahaan menetapkan aturan seperti: “Apa pun di atas 9.0 harus diperbaiki dalam 48 jam.”
  • Ini digunakan oleh basis data kerentananNational Vulnerability Database (NVD) memberikan skor CVSS untuk hampir setiap CVE, yang memungkinkan alat secara otomatis mengurutkan ribuan masalah.
  • Ini menghilangkan dugaanAlih-alih berdebat tentang seberapa parah bug terasa, CVSS memaksa Anda untuk melihat faktor konkret seperti eksploitabilitas dan dampak.

Bagaimana CVSS Bekerja

CVSS memiliki tiga jenis skor. Sebagian besar waktu, Anda hanya akan melihat yang pertama.

1. Skor Dasar (yang digunakan semua orang)

Ini mengukur seberapa buruk kerentanannya sendiri, tidak peduli di mana ia diterapkan.

Ini melihat pertanyaan seperti:

  • Dapatkah ini dieksploitasi melalui internet?
  • Apakah mudah atau sulit untuk dilakukan?
  • Apakah penyerang memerlukan login?
  • Apakah mereka perlu menipu pengguna?
  • Apa yang terjadi jika dieksploitasi? (pencurian data, pengambilalihan sistem, downtime)

Ini adalah skor yang biasanya Anda lihat dalam daftar CVE.

2. Skor Temporal (kadang digunakan)

Ini menyesuaikan skor berdasarkan apa yang terjadi saat ini.

Misalnya:

  • Apakah ada kode eksploitasi publik? (Skor naik)
  • Apakah ada patch yang tersedia? (Skor turun)

3. Skor Lingkungan (lanjutan, opsional)

Ini menyesuaikan skor untuk lingkungan Anda.

Misalnya:

  • Apakah sistem hanya internal? (Kurang parah)
  • Apakah menyimpan data pelanggan? (Lebih parah)

Contoh Nyata: Log4j

Log4j (Log4Shell) adalah salah satu kerentanan paling terkenal yang pernah ada.

Skor CVSS-nya adalah 10.0 (Kritis).

Mengapa?

  • Dapat dieksploitasi dari jarak jauh
  • Tidak memerlukan login
  • Mudah dieksploitasi
  • Memungkinkan pengambilalihan sistem penuh

Siapa yang Menggunakan CVSS?

  • Vendor perangkat lunak untuk menjelaskan seberapa serius sebuah bug
  • Tim keamanan untuk fokus pada masalah yang paling berbahaya
  • Auditor untuk memeriksa apakah kerentanan diperbaiki tepat waktu

Rentang Skor CVSS (v3.1)

Berikut adalah bagaimana angka-angka biasanya diterjemahkan:

  • 0.0 → Tidak ada masalah
  • 0.1–3.9 → Rendah (perbaiki nanti)
  • 4.0–6.9 → Sedang (perbaiki segera)
  • 7.0–8.9 → Tinggi (perbaiki dengan mendesak)
  • 9.0–10.0 → Kritis (perbaiki segera)

Praktik Terbaik (Penting)

  • Jangan hanya mengandalkan CVSS CVSS mengukur keparahan, bukan risiko. Bug kritis pada server yang dimatikan bukanlah ancaman nyata.
  • Gabungkan CVSS dengan kemungkinan Pasangkan CVSS dengan EPSS untuk melihat bug mana yang benar-benar mungkin dieksploitasi.
  • Sesuaikan dengan lingkungan Anda Bug pada server uji tidak sama dengan bug pada basis data produksi.
  • Ketahui versinya CVSS v4.0 ada, tetapi v3.1 masih yang paling umum digunakan saat ini.

Hindari Kelelahan Peringatan

Menemukan masalah keamanan hanya berguna jika tim Anda tahu apa yang harus diperbaiki terlebih dahulu. Menumpuk ratusan peringatan pada insinyur tidak meningkatkan keamanan; itu menciptakan kelelahan peringatan

Plexicus membantu dengan meranking kerentanan sehingga tim Anda dapat fokus pada apa yang benar-benar penting. Alih-alih memperlakukan setiap masalah sama, Plexicus menggunakan beberapa metrik sederhana untuk memandu prioritas.

1) Prioritas

Apa artinya: Seberapa mendesak masalah ini sebenarnya

Prioritas adalah skor dari 0 hingga 100 yang menggabungkan semuanya menjadi satu angka:

  • Keparahan teknis (CVSS v4)
  • Dampak bisnis
  • Seberapa mungkin untuk dieksploitasi

Ini adalah daftar tindakan Anda. Urutkan berdasarkan Prioritas dan mulai dari atas.

  • Prioritas 85 → Tinggalkan semua dan perbaiki sekarang
  • Prioritas 45 → Penting, tetapi bisa menunggu hingga sprint berikutnya

Contoh

Masalah injeksi SQL dalam alat internal yang:

  • Hanya dapat diakses melalui VPN perusahaan
  • Tidak menyimpan data sensitif

Skor:

  • CVSS v4: 8.2 (secara teknis serius)
  • Dampak Bisnis: 45 (alat internal, paparan terbatas)
  • Ketersediaan Eksploitasi: 30 (memerlukan login)
  • Prioritas: 48

Mengapa Prioritas Penting

Jika Anda hanya melihat skor CVSS, Anda mungkin panik karena 8.2 terdengar menakutkan. Prioritas menempatkan masalah dalam konteks dan mengatakan: “Ini nyata, tetapi tidak mendesak. Perbaiki pada sprint berikutnya.”

Itu membuat tim tetap fokus pada risiko nyata daripada bereaksi terhadap setiap skor CVSS tinggi.

2) Dampak

Apa artinya: Seberapa buruk keadaan jika ini dieksploitasi

Dampak dinilai dari 0 hingga 100 dan mencerminkan konsekuensi bisnis, bukan hanya yang teknis. Ini melihat hal-hal seperti:

  • Apakah data pelanggan terlibat?
  • Apakah sistem ini penting untuk operasi?
  • Apakah ada risiko kepatuhan atau regulasi?

Contoh

  • Injeksi SQL dalam database pelanggan publik → Dampak 95
  • Masalah yang sama dalam lingkungan uji internal → Dampak 30

Bug yang sama, risiko bisnis yang sangat berbeda.

3) EPSS

Apa artinya: Seberapa besar kemungkinan penyerang akan mengeksploitasi ini

EPSS memprediksi kemungkinan bahwa kerentanan akan dieksploitasi di dunia nyata dalam 30 hari ke depan. Ini berkisar dari 0.0 hingga 1.0.

Contoh

  • Kerentanan lama dengan CVSS 9.0 tetapi tidak ada serangan aktif → EPSS 0.01
  • Kerentanan baru dengan CVSS 6.0 yang sedang aktif digunakan oleh penyerang → EPSS 0.85

EPSS membantu Anda fokus pada apa yang menjadi perhatian penyerang saat ini, bukan hanya apa yang terlihat buruk di atas kertas.

Cara Menggunakan Metrik Ini di Plexicus

  1. Hubungkan repositori Anda dan tunggu hingga pemindaian selesai
  2. Pergi ke halaman Temuan
  3. Urutkan dan filter berdasarkan Prioritas untuk memutuskan apa yang harus diperbaiki terlebih dahulu

plexicus-priority-remediation

Istilah Terkait

FAQ CVSS

Berapa skor CVSS tertinggi?

10.0. Ini berarti bug mudah dieksploitasi dan menyebabkan kerusakan besar.

Apakah 9.0 selalu lebih buruk daripada 7.0?

Di atas kertas, ya. Dalam kenyataannya, tidak selalu. Skor 7.0 yang dieksploitasi secara aktif bisa lebih berbahaya daripada 9.0 yang tidak digunakan oleh siapa pun.

Siapa yang menetapkan skor CVSS?

Biasanya, vendor perangkat lunak atau NVD. Terkadang peneliti keamanan yang melakukannya.

Bisakah saya mengubah skor CVSS secara internal?

Ya. Banyak tim menyesuaikan skor untuk mencerminkan pengaturan dunia nyata mereka, terutama jika mereka memiliki perlindungan yang kuat.

Langkah Selanjutnya

Siap untuk mengamankan aplikasi Anda? Pilih jalan Anda ke depan.

Mulai Uji Coba Gratis

Coba Plexicus tanpa risiko selama 14 hari

Lihat Harga

Harga transparan untuk tim dari semua ukuran

Bergabung dengan Komunitas

Bergabung dengan Komunitas Global kami

Baca Dokumentasi

Baca Dokumentasi Komprehensif kami

Bergabunglah dengan 500+ perusahaan yang sudah mengamankan aplikasi mereka dengan Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready