Skip to content
Latchkey

O Que É o CVSS Scoring? Classificando o Quão Severa É uma Vulnerabilidade

O CVSS (Common Vulnerability Scoring System) avalia a severidade de uma vulnerabilidade em uma escala de 0 a 10, dando às equipes uma forma consistente de priorizar quais falhas corrigir primeiro.

Quando um scanner reporta dezenas de vulnerabilidades, você precisa de uma forma de triar. O CVSS a fornece: um score padronizado de 0 a 10 derivado de características como a forma que uma falha é explorada e o que ela pode comprometer. Não é uma medida perfeita do seu risco, mas é uma base comum que todos entendem.

As faixas de severidade

  • 0.0: Nenhuma.
  • 0.1 a 3.9: Baixa.
  • 4.0 a 6.9: Média.
  • 7.0 a 8.9: Alta; 9.0 a 10.0: Crítica.

Do que o score é construído

O base score combina métricas como attack vector (network vs local), attack complexity, privileges required, user interaction e o impacto sobre confidencialidade, integridade e disponibilidade. Maior exploração e impacto empurram o score para cima.

Base, temporal e environmental

O base score é intrínseco à falha. As métricas temporal ajustam para saber se um exploit existe ou um patch foi lançado. As métricas environmental permitem que você adapte o score ao seu próprio deployment. A maioria das ferramentas mostra o base score; as outras o refinam para o seu contexto.

Usando-o para priorizar

Uma política comum é bloquear findings críticos e altos que têm correção, e rastrear os médios e baixos. Mas o CVSS sozinho é grosseiro: um "crítico" em uma biblioteca que você nunca alcança pode importar menos do que um "médio" na sua porta da frente. Combine-o com reachability e exposição.

CVSS em gates de CI

Scanners anexam CVSS scores aos findings, para que um gate de CI possa falhar o build em, digamos, críticos corrigíveis enquanto deixa passar problemas de menor severidade. Ajustar o threshold mantém o gate significativo em vez de ruidoso.

Principais conclusões

  • O CVSS pontua a severidade de vulnerabilidades de 0 a 10 em faixas padrão.
  • O base score reflete exploração e impacto; temporal e environmental o refinam.
  • Use-o para priorizar, mas combine com reachability para o risco real.

Guias relacionados