web-dev-qa-db-ja.com

リスクスコア(CVSSv1、CVSSv2、CVSSv3、OWASPリスク重大度)を変換する方法

OWASPリスクレーティング手法(全体的なリスクの重大度)とCVSS v1、v2、v3モデルのベーススコア)の間でリスクスコアを変換するための正確な方法または式はありますか?

異なるCVSSバージョン間でスコアを変換するだけでなく、たとえば、CVSSv1スコアをCVSSv3スコアに、またはその逆に変換します。

3
Bob Ortiz

私は 非常に人気のある脆弱性データベース の主任アーキテクトであり、同様の問題に直面しています。現時点では、CVSSv2の基本スコアと一時スコアを持つ約90,000の脆弱性エントリがあります。 CVSSv3スコアを追加し、古いデータのほとんどを変換しようとしています。この変換については、その基本的な原理を説明するためにのみ説明します。

スコア自体を変換しようとしないでください-ベクトルを新しい形式に変換し、代わりに新しいスコアを再計算します。

CVSSv2 のユーザーガイドと CVSSv の仕様(ジェネリックリンクは将来変更される可能性があります)を見ると、一部の基本ベクトルが変形可能:

  • AV(Pは新しい)
    • N => N
    • A => A
    • L =>(L | P)(通常はL)
  • Au => PR(手動での最適化が必要)
    • N => N
    • S =>(L | H)(通常はL)
    • M =>(H | L)(時々H)
  • CI/II/AI(以下のコメントを参照)
    • C => H
    • P => L
    • N => N
  • E
    • H => H
    • F => F
    • POC => POC
    • U => U
    • ND => X
  • RL
    • OF => O
    • TF => T
    • W => W
    • U => U
    • ND => X
  • RC(多少の偏差)
    • C => C
    • UR => R
    • UC => U
    • ND => X

ただし、他のベクトルに関しては、さらに複雑な点があります。

  • V2のACは、どういうわけかACとUIに分割されています

  • CI、II、AIは同じままですが、v3にはSが追加されています。ほとんどの場合、CI:C/II:C/AI:Cは、遅かれ早かれ、デフォルトで導出されるS:Cを約束する可能性があります。

この定義に従うと、およそ換算できる可能性があります。すべての問題の97%を手動で操作する必要はありません。このような変換中の精度の偏差は通常、非常に小さくなります。

5
Marc Ruef