arrow_back
search
close

Co to jest CVSS (Common Vulnerability Scoring System)?

Personel Trend Micro 

- Ostatnia aktualizacja Jan 08, 2026

tball

CVSS (Common Vulnerability Scoring System) to międzynarodowy standard służący do pomiaru stopnia zagrożenia podatności bezpieczeństwa w oprogramowaniu i systemach.

Spis treści

keyboard_arrow_down

CVSS wykorzystuje neutralne wobec dostawców kryteria oraz ustandaryzowaną metodologię oceny, aby wyrazić stopień zagrożenia podatności w sposób spójny i ilościowy.

Opierając się na obiektywnych metrykach zamiast na interpretacjach specyficznych dla dostawców, CVSS umożliwia organizacjom porównywanie podatności w różnych produktach, środowiskach i branżach, używając wspólnego języka.

Jaki jest cel CVSS?

Celem CVSS jest pomoc organizacjom w spójnej ocenie, porównywaniu i priorytetyzacji podatności na podstawie ich stopnia zagrożenia. Oceny CVSS dostarczają strukturalnych danych wejściowych do zarządzania podatnościami i podejmowania decyzji dotyczących napraw opartych na ryzyku.
Każda podatność otrzymuje ocenę numeryczną w skali od 0.0 do 10.0, która jest również przyporządkowana do jakościowych poziomów zagrożenia:

  • Niski
  • Średni
  • Wysoki
  • Krytyczny

Dzięki swojemu ustandaryzowanemu podejściu, CVSS jest szeroko stosowany przez zespoły bezpieczeństwa, dostawców, reagujących na incydenty oraz bazy danych podatności jako główne źródło odniesienia do priorytetyzacji napraw.

Kto utrzymuje CVSS i jak się rozwijał?

CVSS jest utrzymywany przez specjalną grupę zainteresowań CVSS (CVSS-SIG) działającą pod egidą FIRST (Forum of Incident Response and Security Teams). FIRST to międzynarodowa organizacja zajmująca się cyberbezpieczeństwem, skoncentrowana na poprawie reakcji na incydenty i koordynacji podatności na całym świecie.

Od momentu wprowadzenia, CVSS przeszedł wiele rewizji, aby odzwierciedlić zmiany w technologii i krajobrazie zagrożeń. Najnowsza duża aktualizacja została ogłoszona w lipcu 2023 roku, a oficjalne wydanie CVSS v4.0 miało miejsce w listopadzie 2023 roku, co oznacza znaczącą ewolucję w ocenie stopnia zagrożenia podatności.

FIRST opisuje CVSS jako framework zaprojektowany, aby zapewnić „ustandaryzowane podejście do oceny stopnia zagrożenia podatności i pomocy organizacjom w priorytetyzacji działań naprawczych.”
— FIRST (Forum of Incident Response and Security Teams)

Co to jest CVSS v4.0 i dlaczego jest ważne?

CVSS v4.0 to najnowsza główna wersja frameworku CVSS, zaprojektowana w celu rozwiązania strukturalnych ograniczeń wcześniejszych wersji. Poprawia dokładność oceny, redukuje niejasności i rozszerza zastosowanie poza tradycyjne środowiska IT.

Najbardziej znacząco, CVSS v4.0 wprowadza wyraźniejsze rozdzielenie metryk, większą szczegółowość ocen oraz wyraźne wsparcie dla technologii operacyjnych (OT), systemów kontroli przemysłowej (ICS) oraz środowisk IoT, odzwierciedlając sposób, w jaki nowoczesne organizacje faktycznie działają.

Jakie grupy metryk składają się na CVSS v4.0?

CVSS v4.0 składa się z czterech grup metryk, które oceniają stopień zagrożenia podatności z różnych perspektyw. Te grupy mogą być łączone w celu obliczenia ocen dostosowanych do konkretnych przypadków użycia.
Cztery grupy metryk to:

  • Metryki Podstawowe – Mierzą wewnętrzny stopień zagrożenia podatności
  • Metryki Zagrożeń – Odzwierciedlają aktywność eksploatacyjną w rzeczywistych warunkach
  • Metryki Środowiskowe – Dostosowują stopień zagrożenia do kontekstu organizacyjnego
  • Metryki Dodatkowe – Dostarczają dodatkowego kontekstu związanego z odpowiedzią

Każda grupa pełni odrębną rolę w ramach oceny podatności i działań naprawczych.

image-what-is-cvss

Co to są Metryki Podstawowe CVSS?

Metryki Podstawowe mierzą wewnętrzny stopień zagrożenia podatności, niezależnie od warunków zewnętrznych. Oceny te uwzględniają zarówno trudność eksploatacji podatności, jak i potencjalny wpływ, jeśli dojdzie do eksploatacji.

Metryki Podstawowe są zazwyczaj oceniane przez dostawcę produktu i, raz zdefiniowane, pozostają stabilne w czasie. W CVSS v4.0 metryki te zostały udoskonalone w celu poprawy przejrzystości i szczegółowości, umożliwiając dokładniejsze ocenianie stopnia zagrożenia.

Co to są Metryki Zagrożeń CVSS?

Metryki Zagrożeń oceniają, jak aktywnie podatność jest eksploatowana w rzeczywistych warunkach. Ta grupa metryk koncentruje się na dostępności kodu eksploatacyjnego oraz obserwacji eksploatacji w naturze.

Ponieważ aktywność zagrożeń zmienia się w czasie, Metryki Zagrożeń są z natury dynamiczne i zazwyczaj oceniane przez konsumentów podatności, korzystających z informacji o zagrożeniach i kontekstu operacyjnego.

Kluczowe rozważania obejmują:

  • Dostępność kodu eksploatacyjnego
  • Dowody na aktywną lub szeroko rozpowszechnioną eksploatację

Co to są Metryki Środowiskowe CVSS?

Metryki Środowiskowe dostosowują stopień zagrożenia podatności do konkretnego środowiska organizacji. Uwzględniają one, jak krytyczny dla poufności, integralności i dostępności w danej organizacji jest dotknięty system.

W rezultacie oceny Metryk Środowiskowych mogą znacznie różnić się między organizacjami w zależności od roli systemu, wpływu na biznes i ograniczeń operacyjnych.

Co to są Metryki Dodatkowe CVSS?

Metryki Dodatkowe dostarczają dodatkowych informacji kontekstowych, wspierających decyzje dotyczące reakcji na podatności. Chociaż nie wpływają one na obliczenia ocen CVSS, oferują cenny wgląd w planowanie napraw.
Przykłady czynników uwzględnianych przez Metryki Dodatkowe obejmują:

  • Poziom automatyzacji ataków
  • Złożoność odzyskiwania
  • Wysiłek wymagany do przywrócenia dotkniętych systemów

Te metryki pomagają organizacjom przejść od oceny stopnia zagrożenia do praktycznego planowania reakcji.

Jakie rodzaje ocen CVSS istnieją w CVSS v4.0?

CVSS v4.0 obsługuje różne rodzaje ocen, oparte na różnych kombinacjach grup metryk. Umożliwia to organizacjom ocenę stopnia zagrożenia podatności z perspektyw podstawowych, środowiskowych i zagrożeń w czasie rzeczywistym.
Główne rodzaje ocen CVSS obejmują:

  • CVSS-B – Tylko ocena podstawowa
  • CVSS-BE – Podstawowa + Środowiskowa
  • CVSS-BT – Podstawowa + Zagrożenie
  • CVSS-BTE – Podstawowa + Zagrożenie + Środowiskowa

Na przykład organizacje oceniające stopień zagrożenia podatności w swoim własnym środowisku zazwyczaj polegają na CVSS-BE, podczas gdy te, które uwzględniają aktywne informacje o zagrożeniach, używają CVSS-BTE.

image-what-is-cvss

Co się zmieniło w CVSS v4.0 w porównaniu do CVSS v3.1?

CVSS v4.0 został opracowany, aby rozwiązać dobrze udokumentowane wyzwania w CVSS v3.1. Z biegiem czasu CVSS v3.1 stał się coraz bardziej niezgodny z nowoczesnymi systemami i warunkami zagrożeń.
FIRST zidentyfikował kilka kluczowych problemów, w tym:

  • Nadmierne poleganie na ocenach podstawowych do analizy ryzyka
  • Ograniczony wpływ Metryk Czasowych (obecnie Metryk Zagrożeń)
  • Niewystarczająca reprezentacja zagrożeń w czasie rzeczywistym
  • Słaba aplikowalność do OT, ICS i systemów krytycznych dla bezpieczeństwa
  • Nadmierne skupienie ocen w zakresach "Wysoki" i "Krytyczny"
  • Ograniczona szczegółowość ocen
  • Złożona i mało intuicyjna metodologia ocen

Wyzwania CVSS v3.1 opublikowane przez FIRST, podsumowane i przetłumaczone dla jasności.

Jak te zmiany poprawiają CVSS v4.0?

Aktualizacje wprowadzone w CVSS v4.0 sprawiają, że ocena podatności jest bardziej precyzyjna, użyteczna i odpowiednia. Każda zmiana bezpośrednio celuje w ograniczenie zidentyfikowane w poprzednich wersjach.
Kluczowe ulepszenia obejmują:

  • Zwiększoną szczegółowość w Metrykach Podstawowych
  • Usunięcie niejasnej logiki ocen w dół
  • Uproszczone Metryki Zagrożeń z większym wpływem na ocenę
  • Wprowadzenie Metryk Dodatkowych dla wsparcia reakcji
  • Rozszerzoną aplikowalność do środowisk OT, ICS i IoT

FIRST zauważa, że CVSS v4.0 został zaprojektowany, aby „lepiej odzwierciedlać warunki eksploatacji w rzeczywistym świecie i nowoczesne architektury systemów.”

Dlaczego rozszerzona pokrycie OT jest najważniejszą zmianą w CVSS v4.0?

Najważniejszym ulepszeniem w CVSS v4.0 jest jego wyraźne uwzględnienie środowisk technologii operacyjnych (OT). Jest to pierwsza wersja CVSS, która formalnie uwzględnia podatności mogące mieć implikacje dla bezpieczeństwa fizycznego.

W miarę jak transformacja cyfrowa nadal zaciera granicę między IT a OT, podatności w systemach przemysłowych mogą bezpośrednio wpływać na produkcję, bezpieczeństwo i życie ludzkie. CVSS v4.0 odzwierciedla tę rzeczywistość, wprowadzając metryki uwzględniające bezpieczeństwo i rozważania dotyczące wpływu w dół.

Jak organizacje powinny przygotować się do efektywnego korzystania z CVSS v4.0?

Aby efektywnie korzystać z CVSS v4.0, organizacje muszą dostosować praktyki zarządzania podatnościami, aby uwzględnić zarówno rzeczywistość IT, jak i OT. Chociaż CVSS v4.0 poprawia widoczność, wyzwania związane z reakcją pozostają – szczególnie w środowiskach OT.
Kluczowe różnice obejmują:

  • Systemy OT priorytetyzują dostępność i bezpieczeństwo nad stosowaniem poprawek
  • Środowiska wdrożeniowe są często zamknięte i zarządzane przez dostawców
  • Stosowanie poprawek może być niewykonalne lub wyraźnie unikać

Bez personelu, który rozumie zarówno konteksty IT, jak i OT, organizacje mogą mieć trudności z działaniem na podstawie samych wglądów w podatności.

Dlaczego widoczność zasobów OT i zapobieganie eksploatacji są krytyczne?

Widoczność zasobów OT i zapobieganie eksploatacji są niezbędne, gdy tradycyjne stosowanie poprawek nie jest praktyczne. Organizacje muszą najpierw zrozumieć, jakie zasoby OT posiadają, zanim będą mogły zarządzać związanymi z nimi podatnościami.
Efektywne zmniejszanie ryzyka podatności OT zazwyczaj obejmuje:

  • Kompleksowe odkrywanie zasobów OT
  • Ciągłe monitorowanie ruchu sieciowego
  • Specyficzne dla OT czujniki i narzędzia widoczności
  • Wirtualne stosowanie poprawek za pomocą systemów zapobiegania włamaniom (IPS) skoncentrowanych na OT

Te kontrole pomagają zapobiegać eksploatacji i zmniejszać ryzyko nawet wtedy, gdy podatności nie mogą być naprawione poprzez stosowanie poprawek.

Gdzie mogę uzyskać pomoc w zakresie CVSS i priorytetyzacji ryzyka podatności?

Trend Vision One™ oferuje rozwiązanie do zarządzania ekspozycją na ryzyko cybernetyczne (CREM), które wykracza poza podstawową ocenę CVSS, aby pomóc organizacjom zrozumieć, priorytetyzować i zmniejszać ryzyko na całej powierzchni ataku. Łączy ocenę stopnia zagrożenia podatności z informacjami o zagrożeniach w czasie rzeczywistym oraz analizą kontekstualną ryzyka, umożliwiając zespołom bezpieczeństwa podejmowanie szybszych i bardziej inteligentnych decyzji.

To podejście integruje kluczowe możliwości, takie jak zarządzanie powierzchnią ataku, zarządzanie podatnościami oraz ocena postawy bezpieczeństwa w środowiskach IT, OT, chmurowych i hybrydowych. Chodzi nie tylko o identyfikowanie podatności, ale o przekształcanie wglądów w praktyczne kroki, które wzmacniają odporność i minimalizują ekspozycję.

Dzięki zarządzaniu ekspozycją na ryzyko cybernetyczne możesz:

  • Uzyskać widoczność swoich najbardziej krytycznych zasobów i podatności
  • Priorytetyzować naprawy na podstawie rzeczywistego ryzyka, a nie tylko teoretycznych ocen
  • Zmniejszyć prawdopodobieństwo eksploatacji poprzez proaktywne strategie redukcji ryzyka

Często zadawane pytania (FAQ)

Expand all Hide all

Co oznacza CVSS w dziedzinie cyberbezpieczeństwa?

add

CVSS oznacza Common Vulnerability Scoring System. Jest to ustandaryzowany framework używany do pomiaru stopnia zagrożenia podatności bezpieczeństwa w oprogramowaniu i systemach. CVSS dostarcza ocen numerycznych, które pomagają organizacjom spójnie porównywać podatności i priorytetyzować działania naprawcze.

Co to jest ocena CVSS?

add

Ocena CVSS to wartość numeryczna reprezentująca stopień zagrożenia podatności. Oceny wahają się od 0.0 do 10.0, przy czym wyższe oceny wskazują na większe ryzyko. Oceny te są często kategoryzowane jako Niski, Średni, Wysoki lub Krytyczny.

Kto używa ocen CVSS?

add

Oceny CVSS są używane przez zespoły bezpieczeństwa, dostawców i bazy danych podatności na całym świecie. Organizacje polegają na nich, aby priorytetyzować stosowanie poprawek, prowadzić reakcję na incydenty oraz wspierać decyzje dotyczące zarządzania podatnościami oparte na ryzyku w różnych środowiskach.

Jaka jest różnica między CVSS v3.1 a CVSS v4.0?

add

CVSS v4.0 poprawia dokładność i zastosowanie w porównaniu do CVSS v3.1. Wprowadza większą szczegółowość ocen, upraszcza ocenę zagrożeń i rozszerza pokrycie na środowiska OT, ICS i IoT, jednocześnie redukując niejasności ocen.

Jakie są grupy metryk w CVSS v4.0?

add

CVSS v4.0 obejmuje cztery grupy metryk, które oceniają stopień zagrożenia podatności z różnych perspektyw. Są to Metryki Podstawowe, Metryki Zagrożeń, Metryki Środowiskowe oraz Metryki Dodatkowe, które razem wspierają bardziej świadome kontekstowo ocenianie stopnia zagrożenia.

Trend Vision One™ — Proaktywna ochrona zaczyna się tutaj.

Zasoby

Wsparcie

O firmie Trend

Siedziba firmy

  • Trend Micro - Poland (PL)
  • Warsaw Trade Tower
    ul. Chłodna 51
    00-867, Warszawa
    Polska
  • Tel: +48 800 112 5238

Select a language

close

Poznaj naszą platformę cyberbezpieczeństwa dla firm za darmo

Copyright ©2026 Trend Micro Incorporated. All rights reserved.