CVSS(通用漏洞评分系统)

CVSS 通过三组指标对漏洞评分:基础指标(攻击向量、攻击复杂度、所需权限、CIA 影响等内在属性)、时间/威胁指标(漏洞利用成熟度、修复状态)以及环境指标(根据具体部署调整)。大多数 CVE 条目公布的是基础评分,以数值与向量字符串两种形式表示。目前 CVSS v3.1 占主导地位,v4.0 进一步细化了 IoT 与补充严重性指标。评分必须结合业务背景、资产关键性以及 EPSS 或 CISA KEV 等信号来解读——CVSS 高不必然意味着实际风险高,CVSS 低也可能在特定环境中至关重要。