arrow_back
search
close

CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) Nedir?

Fernando Cardoso 

- Son güncelleme 2026/02/05

tball

CVSS (Ortak Güvenlik Açığı Puanlama Sistemi), yazılım ve sistemlerdeki güvenlik açıklarının ciddiyetini ölçmek için uluslararası bir standarttır.

İçindekiler

keyboard_arrow_down

CVSS, güvenlik açığı şiddetini tutarlı ve nicel bir şekilde ifade etmek için tedarikçiden bağımsız kriterler ve standartlaştırılmış bir puanlama metodolojisi kullanır.

CVSS, tedarikçilere özgü yorumlar yerine objektif metriklere güvenerek kuruluşların ürünler, ortamlar ve sektörlerdeki güvenlik açıklarını ortak bir dil kullanarak karşılaştırmasını sağlar.

CVSS'nin Amacı Nedir?

CVSS'nin amacı, kuruluşların güvenlik açıklarını şiddete göre tutarlı bir şekilde değerlendirmesine, karşılaştırmasına ve önceliklendirmesine yardımcı olmaktır. CVSS puanları, güvenlik açığı yönetimi ve risk tabanlı iyileştirme kararlarına yapılandırılmış bir girdi sağlar.

Her güvenlik açığına 0,0 ila 10,0 arasında değişen sayısal bir puan atanır ve bu puan aynı zamanda kalitatif önem düzeyleriyle eşleştirilir:

  • Düşük
  • Orta
  • Yüksek
  • Kritik

Standartlaştırılmış yaklaşımı nedeniyle, CVSS, iyileştirme önceliklendirmesi için birincil referans olarak güvenlik ekipleri, satıcılar, olay müdahale ekipleri ve güvenlik açığı veritabanları tarafından yaygın olarak kullanılmaktadır.

CVSS’yi Kim Yönetir ve Zaman İçinde Nasıl Gelişmiştir?

CVSS, CVSS Special Interest Group (CVSS-SIG) tarafından FIRST (Olay Müdahale ve Güvenlik Ekipleri Forumu) altında tutulur. FIRST, dünya çapında olay müdahalesini ve güvenlik açığı koordinasyonunu iyileştirmeye odaklanan uluslararası bir siber güvenlik kuruluşudur.

İlk günden bu yana CVSS, teknoloji ve tehdit ortamlarındaki değişiklikleri yansıtmak için birçok revizyondan geçmiştir. En son büyük güncelleme Temmuz 2023'te duyuruldu ve CVSS v4.0 Kasım 2023'te resmi olarak yayınlandı ve güvenlik açığının ciddiyetinin değerlendirilmesinde önemli bir gelişmeye işaret ediyor.

FIRST, CVSS'yi “güvenlik açıklarının ciddiyetini değerlendirmek ve kuruluşların müdahale çabalarını önceliklendirmesine yardımcı olmak için standartlaştırılmış bir yaklaşım” sağlamak üzere tasarlanmış bir çerçeve olarak tanımlamaktadır.
— FIRST (Olay Müdahale ve Güvenlik Ekipleri Forumu)

CVSS v4.0 Nedir ve Neden Önemlidir?

CVSS v4.0, önceki sürümlerdeki yapısal sınırlamaları ele almak için tasarlanmış CVSS çerçevesinin en son büyük sürümüdür. Puanlama doğruluğunu iyileştirir, belirsizliği azaltır ve uygulanabilirliği geleneksel BT ortamlarının ötesine genişletir.

En önemlisi, CVSS v4.0, modern kuruluşların gerçekte nasıl çalıştığını yansıtarak daha net metrik ayırma, daha fazla puanlama taneliliği ve Operasyonel Teknoloji (OT), Endüstriyel Kontrol Sistemleri (ICS) ve IoT ortamları için açık destek sunar.

Hangi Metrik Gruplar CVSS v4.0'ı Oluşturur?

CVSS v4.0, güvenlik açığı şiddetini farklı bakış açılarından değerlendiren dört metrik gruptan oluşur. Bu gruplar, belirli kullanım durumlarına uygun puanları hesaplamak için birleştirilebilir.

Dört metrik grup şunlardır:

  • Temel Ölçütler – Bir güvenlik açığının içsel şiddetini ölçün
  • Tehdit Ölçümleri – Gerçek dünyadaki istismar etkinliğini yansıtın
  • Çevresel Ölçütler – Ciddiyeti kurumsal bağlama göre özelleştirin
  • Ek Ölçütler – Yanıtla ilgili ek bağlam sağlayın

Her grup, güvenlik açığı değerlendirme ve müdahale iş akışlarında farklı bir amaca hizmet eder.

image-what-is-cvss

CVSS Temel Ölçütleri Nelerdir?

Temel Metrikler, dış koşullardan bağımsız olarak bir güvenlik açığının doğal şiddetini ölçer. Hem bir güvenlik açığının istismar edilmesinin ne kadar zor olduğunu hem de istismarın gerçekleşmesi durumunda olası etkiyi değerlendirirler.

Temel Metrikler tipik olarak ürün tedarikçisi tarafından değerlendirilir ve tanımlandıktan sonra zaman içinde stabil kalır. CVSS v4.0'da, Temel Metrikler daha kesin şiddet puanlamasını mümkün kılarak netliği ve granülerliği iyileştirmek için geliştirilmiştir.

CVSS Tehdit Ölçütleri Nelerdir?

Tehdit Ölçütleri, gerçek dünya koşullarında bir güvenlik açığının ne kadar aktif bir şekilde istismar edildiğini değerlendirir. Bu ölçüt grubu, istismar kodunun mevcut olup olmadığına ve vahşi doğada istismarın gözlemlenip gözlemlenmediğine odaklanır.

Tehdit faaliyeti zaman içinde değiştiğinden, Tehdit Ölçümleri doğası gereği dinamiktir ve genellikle tehdit istihbaratı ve operasyonel bağlam kullanılarak güvenlik açığı tüketicileri tarafından değerlendirilir.

Önemli hususlar şunları içerir:

  • Suistimal kodunun kullanılabilirliği
  • Aktif veya yaygın istismar kanıtı

CVSS Çevresel Ölçütleri Nelerdir?

Çevresel Ölçütler, güvenlik açığının ciddiyetini bir kuruluşun belirli ortamına uygun hale getirir. Etkilenen sistemin belirli bir kuruluşta gizlilik, bütünlük ve kullanılabilirlik açısından ne kadar kritik olduğunu açıklarlar.

Sonuç olarak, Environmental Metric puanları, sistem rolüne, iş etkisine ve operasyonel kısıtlamalara bağlı olarak kuruluşlar arasında önemli ölçüde farklılık gösterebilir.

CVSS Ek Ölçütleri Nelerdir?

Ek Metrikler, güvenlik açığı müdahale kararlarını desteklemek için ek bağlamsal bilgiler sağlar. CVSS puan hesaplamalarını etkilemeseler de, iyileştirme planlaması için değerli içgörüler sunarlar.

Ek Metrikler tarafından yakalanan faktörlere örnekler şunları içerir:

  • Saldırı otomasyonu düzeyi
  • İyileşmenin karmaşıklığı
  • Etkilenen sistemleri geri yüklemek için gereken çaba

Bu metrikler, kuruluşların şiddet değerlendirmesinden pratik yanıt planlamasına geçmesine yardımcı olur.

CVSS v4.0’da Hangi CVSS Puan Türleri Vardır?

CVSS v4.0, farklı metrik grup kombinasyonlarına dayalı olarak birden fazla puan türünü destekler. Bu, kuruluşların güvenlik açığı şiddetini başlangıç, çevre ve gerçek zamanlı tehdit perspektiflerinden değerlendirmelerine olanak tanır.

Birincil CVSS puan türleri şunları içerir:

  • CVSS-B – Yalnızca taban puan
  • CVSS-BE – Temel + Çevre
  • CVSS-BT – Temel + Tehdit
  • CVSS-BTE – Temel + Tehdit + Çevre

Örneğin, kendi ortamlarında güvenlik açığı şiddetini değerlendiren kuruluşlar genellikle CVSS-BE'ye güvenirken, aktif tehdit istihbaratını kullanan kuruluşlar CVSS-BTE'yi kullanır.

image-what-is-cvss

CVSS v3.1'e kıyasla CVSS v4.0'da Ne Değişti?

CVSS v4.0, CVSS v3.1'deki iyi belgelenmiş zorlukları ele almak için geliştirilmiştir. CVSS v3.1, zaman içinde modern sistemler ve tehdit koşullarıyla giderek daha fazla uyumsuz hale geldi.

FIRST, aşağıdakiler de dahil olmak üzere birkaç önemli sorunu tanımladı:

  • Risk analizi için Temel Puanlara aşırı güvenme
  • Geçici (şimdi Tehdit) Metriklerinin sınırlı etkisi
  • Gerçek zamanlı tehditlerin yetersiz temsili
  • OT, ICS ve güvenlik açısından kritik sistemler için zayıf uygulanabilirlik
  • “Yüksek” ve “Kritik” aralıklarda aşırı puan kümelenmesi
  • Sınırlı puanlama granüleritesi
  • Karmaşık ve sezgisel olmayan puanlama metodolojisi

FIRST tarafından yayınlanan CVSS v3.1'in zorlukları, netlik sağlamak için özetlendi ve çevrildi.

Bu Değişiklikler CVSS v4.0'ı Nasıl İyileştiriyor?

CVSS v4.0'da sunulan güncellemeler, güvenlik açığı puanlamasını daha kesin, eyleme geçirilebilir ve ilgili hale getiriyor. Her değişiklik doğrudan önceki sürümlerde tanımlanan bir sınırlamayı hedefler.

Önemli iyileştirmeler şunları içerir:

  • Temel Metrikler içinde artan granülerlik
  • Belirsiz aşağı yönlü puanlama mantığının kaldırılması
  • Daha fazla puanlama etkisine sahip Basitleştirilmiş Tehdit Ölçümleri
  • Yanıt desteği için Ek Metriklerin Tanıtımı
  • OT, ICS ve IoT ortamlarına genişletilmiş uygulanabilirlik

FIRST, CVSS v4.0'ın “gerçek dünyadaki istismar koşullarını ve modern sistem mimarilerini daha iyi yansıtacak şekilde” tasarlandığını belirtiyor.

Genişletilmiş OT Kapsamı, CVSS v4.0'da Neden En Önemli Değişikliktir?

CVSS v4.0'daki en önemli gelişme, Operasyonel Teknoloji (OT) ortamlarının açık bir şekilde dahil edilmesidir. Bu, fiziksel güvenlik sonuçları olabilecek güvenlik açıklarını resmi olarak hesaba katan ilk CVSS sürümüdür.

Dijital dönüşüm BT ve OT arasındaki çizgiyi belirsizleştirmeye devam ettikçe, endüstriyel sistemlerdeki güvenlik açıkları üretimi, güvenliği ve insan hayatını doğrudan etkileyebilir. CVSS v4.0, güvenlik bilincine sahip metrikleri ve aşağı akış etki değerlendirmelerini dahil ederek bu gerçekliği yansıtır.

Kuruluşlar CVSS v4.0'ı Etkili Bir Şekilde Kullanmaya Nasıl Hazırlanmalıdır?

CVSS v4.0'ı etkili bir şekilde kullanmak için, kuruluşların hem BT hem de OT gerçekliklerini hesaba katacak güvenlik açığı yönetimi uygulamalarını uyarlaması gerekir. CVSS v4.0 görünürlüğü iyileştirirken, özellikle OT ortamlarında müdahale zorlukları devam ediyor.

Temel farklar şunları içerir:

  • OT sistemleri yama yerine kullanılabilirliği ve güvenliği önceliklendirir
  • Dağıtım ortamları genellikle kapalıdır ve satıcı tarafından yönetilir
  • Yamalama mümkün olmayabilir veya açıkça önlenebilir

Hem BT hem de OT bağlamlarını anlayan personel olmadan, kuruluşlar yalnızca güvenlik açığı içgörüleri konusunda harekete geçmekte zorlanabilir.

OT Varlık Görünürlüğü ve Açık İstismarını Önleme Neden Kritik?

Geleneksel yamanın pratik olmadığı durumlarda OT varlık görünürlüğü ve istismar önleme çok önemlidir. Kuruluşlar, ilişkili güvenlik açıklarını yönetmeden önce hangi OT varlıklarına sahip olduklarını anlamalıdır.

Etkili OT güvenlik açığı riski azaltma tipik olarak şunları içerir:

  • Kapsamlı OT varlık keşfi
  • Sürekli ağ trafiği izleme
  • OT'ye özel sensörler ve görünürlük araçları
  • OT odaklı saldırı önleme sistemleri (IPS) aracılığıyla sanal yama

Bu kontroller, güvenlik açıkları yama yoluyla düzeltilemediğinde bile istismarı önlemeye ve riski azaltmaya yardımcı olur.

CVSS ve Güvenlik Açığı Risk Önceliklendirmesi Konusunda Nereden Yardım Alabilirim?

Trend Vision One™, kuruluşların tüm saldırı yüzeylerinde riski anlamasına, önceliklendirmesine ve azaltmasına yardımcı olmak için temel CVSS puanlamasının ötesine geçen bir Siber Risk Maruz Kalma Yönetimi (CREM) çözümü sunar. Güvenlik açığı önem derecesi puanlamasını gerçek zamanlı tehdit istihbaratı ve bağlamsal risk analiziyle birleştirerek güvenlik ekiplerinin daha hızlı ve daha akıllı kararlar almasını sağlar.

Bu yaklaşım, BT, OT, bulut ve hibrit ortamlarda Saldırı Yüzeyi Yönetimi, Güvenlik Açığı Yönetimi ve Güvenlik Duruşu Değerlendirmesi gibi temel yetenekleri entegre eder. Önemli olan yalnızca güvenlik açıklarını belirlemek değil, aynı zamanda içgörüleri dayanıklılığı güçlendiren ve maruziyeti en aza indiren eyleme geçirilebilir adımlara dönüştürmektir.

Siber Riske Maruz Kalma Yönetimi ile şunları yapabilirsiniz:

  • En kritik varlıklarınız ve güvenlik açıklarınız için görünürlük elde edin
  • İyileştirmeyi yalnızca teorik puanlara değil, gerçek dünyadaki riske göre önceliklendirin
  • Proaktif risk azaltma stratejileriyle istismar olasılığını azaltın
fernando

Fernando Cardoso

Ürün Yönetimi Başkan Yardımcısı

pen

Fernando Cardoso, Trend Micro’da Ürün Yönetimi Başkan Yardımcısıdır ve yapay zekâ ile bulutun sürekli gelişen dünyasına odaklanmaktadır. Kariyerine Ağ ve Satış Mühendisi olarak başlayan Fernando, veri merkezleri, bulut, DevOps ve siber güvenlik alanlarında yetkinliğini geliştirmiştir. Bu alanlar, hâlâ tutkusunun kaynağını oluşturmaktadır.

Sıkça Sorulan Sorular (SSS)

Expand all Hide all

CVSS siber güvenlikte ne anlama geliyor?

add

CVSS, Ortak Güvenlik Açığı Puanlama Sistemi anlamına gelir. Yazılım ve sistemlerdeki güvenlik açıklarının ciddiyetini ölçmek için kullanılan standartlaştırılmış bir çerçevedir. CVSS, kuruluşların güvenlik açıklarını tutarlı bir şekilde karşılaştırmasına ve iyileştirme çabalarına öncelik vermesine yardımcı olan sayısal puanlar sağlar.

CVSS puanı nedir?

add

CVSS skoru, bir güvenlik açığının şiddetini temsil eden sayısal bir değerdir. Puanlar 0,0 ila 10,0 arasında değişir ve daha yüksek puanlar daha büyük riske işaret eder. Bu puanlar genellikle Düşük, Orta, Yüksek veya Kritik olarak kategorize edilir.

CVSS puanlarını kim kullanır?

add

CVSS puanları, dünya çapında güvenlik ekipleri, satıcılar ve güvenlik açığı veritabanları tarafından kullanılmaktadır. Kuruluşlar yamalara öncelik vermeleri, olay müdahalesine rehberlik etmeleri ve çeşitli ortamlarda risk tabanlı güvenlik açığı yönetimi kararlarını desteklemeleri için onlara güveniyor.

CVSS v3.1 ve CVSS v4.0 arasındaki fark nedir?

add

CVSS v4.0, CVSS v3.1'e kıyasla doğruluğu ve uygulanabilirliği artırır. Daha fazla puanlandırma granülerliği sunar, tehdit değerlendirmesini basitleştirir ve puanlama belirsizliğini azaltırken OT, ICS ve IoT ortamlarına yönelik kapsamı genişletir.

CVSS v4.0'daki metrik grupları nelerdir?

add

C VSS v4.0, güvenlik açığı şiddetini farklı bakış açılarından değerlendiren dört metrik grup içerir. Bunlar, birlikte daha fazla bağlam bilinçli şiddet puanlamasını destekleyen Temel Metrikler, Tehdit Metrikleri, Çevresel Metrikler ve Tamamlayıcı Metriklerdir.

Trend Vision One™ - Proaktif Güvenlik Burada Başlar.

Kaynaklar

Destek

Trend Hakında

Country Headquarters

  • Trend Micro - Türkiye (TR)
  • Trend Micro Limited Merkezi Hong Kong
    İstanbul Merkez Şubesi İçerenköy
    Mah. Umut Sk. Quick Tower
    No:10-12 Kat:18 Ataşehir
    Istanbul,
    Türkiye
  • Phone: +90 212 367 4422

Select a language

close

Kurumsal siber güvenlik platformumuzu ücretsiz deneyimleyin

Copyright ©2026 Trend Micro Incorporated. All rights reserved.