Genel Zayýflýk Puanlama Sistemi yazýlým zayýflýklarýnýn deðerlendirilmesinde puanlama iþlemlerini standartlaþtýrmak üzere NIAC (the National Infrastructure Advisory Council) tarafýndan FIRST’e (Forum of Incident Response and Security Teams) hazýrlatýlmýþtýr.

CVSS þu kurumlarýn ortak çalýþmasý sonucu oluþturulmuþtur : CERT/CC , Cisco , DHS/MITRE, eBay, Internet Security Systems, Microsoft, Qualys, Symantec

CVSS kullanýmý ile bir güvenlik açýðýnýn öneminin ve derecesinin belirlenebilmesi için bu üreticilerin ortak bir dil kullanmalarý ve son kullanýcýnýn da zayýflýklarla ilgili seviyeleri doðru anlayabilmesi saðlanmaktadýr.
»» Risk seviyeleri için üç ayrý kategori tanýmlanmýþtýr.
1. Temel Risk Seviyesi (Base Metric Scoring),
2. Geçici Risk Seviyesi (Temporal Metric Scoring)
3. Yapýsal Risk Seviyesi (Environmental Score Metrics)

Temel risk seviyesi, güvenlik açýðýna özgü, zaman içerisinde veya yapýya göre deðiþmeyen, temel risk seviyesidir. Geçici risk seviyesi, güvenlik açýðýnýn zaman içerisinde deðiþebilecek risk seviiyesidir. Yapýsal risk seviyesi ise, güvenlik açýðýnýn organizasyon/firma yapýsýna olan etkisidir. Yapýsal risk seviyesinin her organizasyon/firma için tekrardan hesaplanmasý gerekmektedir.

Yazýlým firmalarý tarafýndan yayýnlanan zayýflýk bildirimlerinde ve zayýflýk analizi yapan kullanýcýlarda ortak bir dil olarak CVSS’in ülkemizde de yaygýnlaþmasý beklenmektedir.

CVSS kullanmak isteyenler için gerekli bilgi ve örnek hesaplama tablolarý aþaðýda sunulmuþtur.

CVSS hesap makinesi Excel Tablosu formatýnda buradan indirilebilir.

Örnek CVSS hesabý indirmek için týklayýnýz.

CVSS sunumunu indirmek için týklayýnýz.