大小:269.09K时长:01:31
Zoom漏洞影响评分系统(简称 VISS)旨在帮助组织根据一种新的漏洞评分方法来执行安全措施,该方法优先考虑实际影响,而不是理论上的安全影响可能性。
VISS是在过去一年中开发出来的,并且最近开源。它与通用漏洞评分系统(CVSS)的不同之处在于,它不关注最坏情况,而是试图从防御者的角度更客观地衡量漏洞的影响。为此,VISS 提供了一个基于Web的UI来根据多个参数计算漏洞分数,这些参数分为平台、基础设施和数据组。其中包括 13 个方面,如对平台的影响、受影响的租户数量、数据影响等等。
通过补偿控制指标,VISS 分数是可调整的,并为环境所有者提供了根据其个体风险配置分数的灵活性和自由度。
Zoom 将 VISS 作为其 Bug 赏金计划的一个评估工具,这对提交的报告质量产生了显著影响,从而帮助他们了解应该在哪里投入时间和精力来获得最大价值。
VISS 可以帮助你主动保护你的环境并优先处理最有可能影响组织的漏洞,而不是将宝贵的有限资源集中在不太可能具有实质性影响的漏洞上。
VISS提供了一个经过校准的默认配置,具有平滑的分数分布,其中大约 50%的报告被分类为中等严重性,而低和高严重性报告各占约 25%。默认的配置可根据用户要求进行调整。
需要注意的是,VISS 并没有取代 CVSS,而是作为其补充,提供了额外的评估视角。
原文链接:
https://www.infoq.com/news/2023/12/zoom-vulnerability-score-viss/
腾讯云云原生提质增效实践精选集 2024
《2024腾讯云云原生提质增效实践精选集》出炉,5大热门技术领域,13个行业精选标杆案例,痛点到解决方案全...
LLM 时代,从代码安全分析走向代码安全治理
OceanBase的OLAP能力提升实践
字节跳动云原生大数据的发展之路
评论 15 条评论