请详细说明CVSS v3中的范围、易受攻击组件、影响组件。

Question

我对CVSS v3很感兴趣，但我对安全性或漏洞还不太了解。

我阅读了CVSS v3用户指南，但我很困惑，也不明白它们的含义：

• 作用域
• 易损部件
• 冲击分量

请帮帮忙。

Answer 1

使用CVSS最简单的方法是使用像第一's这样的计算器工具--注意，有3个组件，基本组件、时态组件和环境组件。许多公司只使用这个基础--我建议至少在启动时使用这个工具。

等级库对每个组件都有非常详细的信息，但需要对您所关注的组件进行解释：

作用域:这是组件是否允许范围更改--也就是说，它是否允许打破沙箱或类似的受限环境，或者更改不同的特权方案。例如，如果用户能够获得用于服务器-服务器通信的api键，则这将是一个范围更改(在我看来，至少- CVSS分数对他们有一定程度的主观性)。

易受攻击组件是易受攻击的软件/系统的一部分。它可能会暴露系统的其他部分，但这是利用程序的途径。

影响组件是系统中因利用易受攻击组件而暴露/使其易受攻击的任何部分。