Новости
ИТ-гиганты стандартизируют оценку уязвимостей
Наука и техника | Россия

Ведущие ИТ-компании договорились о стандартизации оценки уязвимостей в своих продуктах. "Общая система оценки уязвимости" /CVSS/ призвана заменить многочисленные градации опасности, специфические для каждой компании.

В Microsoft, Qualys, Symantec и других компаниях, поддержавших инициативу, сошлись во мнении, что единая шкала поможет пользователю лучше ориентироваться в оценке степени угроз. Инициатором создания системы стало подразделение Департамента внутренней безопасности США — Консультативный совет по национальной инфраструктуре /NIAC/. Решение было принято на конференции RSA в Сан-Франциско.

Участники проекта CVSS также договорились об ином подходе к оценке опасностей. Уязвимость оценивается по семи факторам, в частности, возможностям несанкционированного доступа к конфиденциальной информации, модификации данных, атаки "отказ в обслуживании" /DoS/. Во внимание будут приниматься возможность удаленной эксплуатации уязвимости, а также период со дня обнаружения уязвимости.

В Qualys планируют опубликовать шкалу CVSS в этом году в бесплатном новостном бюллетене Института SANS. Окончательный вариант шкалы находится в процессе доработки.

CNews.ru