我们（SAP产品安全响应团队）收到了客户提出的许多关于SAP如何使用通用漏洞评分系统（也称为CVSS）的问题。本博客是本系列文章的第一篇，旨在深入了解CVSS及其在SAP中的使用情况。

背景：在过去5年中，淘客工具，SAP一直在使用CVSS来传达SAP security notes中修复的漏洞的严重性。SAP安全说明将在每个月的第二个星期二发布，即SAP安全修补程序日。我们还使用CVSS对内部工程工作进行优先排序，以分类产品安全漏洞。SAP是CVSS特别利益集团（SIG）的积极成员，积极参与CVSS最新版本3.0的开发。

什么是CVSS？

CVSS是一个开放的、供应商中立的、独立于技术的框架，用于传达软件漏洞的特征和严重性。在实践中，CVSS分数可用于评估安全漏洞的严重性。CVSS可应用于非常广泛的软件产品，包括操作系统、web应用程序、安全产品（如防火墙、防病毒软件）、数据库等

CVSS由三个度量组组成：基本、时间和环境。这些度量组的详细信息可以在这里找到。SAP只关注基本指标组，因为我们相信它将为我们的客户带来最大的价值，并代表漏洞的固有特征。随着时间的推移和用户环境的变化，基本指标组保持不变。

CVSS的发展

CVSS最初于2005年2月在美国国土安全部网站上公布。自推出以来，CVSS在FIRST（事件响应和安全团队论坛）的监管下经历了两次重大修订。截至撰写本博客时，当前版本为2015年6月发布的CVSS 3.0版

为什么要开始使用CVSS？

CVSS为SAP这样的软件供应商向其客户传达固定漏洞的严重性提供了以下三个好处：

1）它提供了标准化的漏洞严重性评分。这有助于组织做出明智的决策，根据漏洞严重性安排适当的修补程序窗口。

2）它提供了一个开放的框架。当第三方以任意分数分配漏洞时，用户可能会感到困惑。有了CVSS，用于得出分数的个人特征是透明的。

3）CVSS有助于确定风险优先级。当计算CVSS环境度量分数时（通常由最终用户组织完成，因为他们最能够评估漏洞在自己的计算环境中的潜在影响），漏洞对每个组织来说都是上下文关系，大数据与云计算，有助于更好地了解漏洞对组织造成的风险

需要记住的其他要点：

SAP如何使用CVSS？

为了向我们的客户提供透明性，美国云服务器，安全说明优先级现在完全基于CVSS v3基本度量分数进行计算。

此外，SAP在我们的产品中使用CVSS 3.0版基本分数来确定漏洞优先级。我们认为，广西大数据，个人大数据，确保为漏洞提供修复所需的时间与漏洞的CVSS分数成反比是至关重要的，这样高CVSS分数将使我们的客户获得最少的修复时间。这种优先顺序也会影响"下载"要求，即我们提供一个补丁的软件遗留版本的数量。