O Que É o CVSS Scoring? Classificando o Quão Severa É uma Vulnerabilidade
O CVSS (Common Vulnerability Scoring System) avalia a severidade de uma vulnerabilidade em uma escala de 0 a 10, dando às equipes uma forma consistente de priorizar quais falhas corrigir primeiro.
Quando um scanner reporta dezenas de vulnerabilidades, você precisa de uma forma de triar. O CVSS a fornece: um score padronizado de 0 a 10 derivado de características como a forma que uma falha é explorada e o que ela pode comprometer. Não é uma medida perfeita do seu risco, mas é uma base comum que todos entendem.
As faixas de severidade
- 0.0: Nenhuma.
- 0.1 a 3.9: Baixa.
- 4.0 a 6.9: Média.
- 7.0 a 8.9: Alta; 9.0 a 10.0: Crítica.
Do que o score é construído
O base score combina métricas como attack vector (network vs local), attack complexity, privileges required, user interaction e o impacto sobre confidencialidade, integridade e disponibilidade. Maior exploração e impacto empurram o score para cima.
Base, temporal e environmental
O base score é intrínseco à falha. As métricas temporal ajustam para saber se um exploit existe ou um patch foi lançado. As métricas environmental permitem que você adapte o score ao seu próprio deployment. A maioria das ferramentas mostra o base score; as outras o refinam para o seu contexto.
Usando-o para priorizar
Uma política comum é bloquear findings críticos e altos que têm correção, e rastrear os médios e baixos. Mas o CVSS sozinho é grosseiro: um "crítico" em uma biblioteca que você nunca alcança pode importar menos do que um "médio" na sua porta da frente. Combine-o com reachability e exposição.
CVSS em gates de CI
Scanners anexam CVSS scores aos findings, para que um gate de CI possa falhar o build em, digamos, críticos corrigíveis enquanto deixa passar problemas de menor severidade. Ajustar o threshold mantém o gate significativo em vez de ruidoso.
Principais conclusões
- O CVSS pontua a severidade de vulnerabilidades de 0 a 10 em faixas padrão.
- O base score reflete exploração e impacto; temporal e environmental o refinam.
- Use-o para priorizar, mas combine com reachability para o risco real.