Forum of Incident Response and Security Teams (FIRST) ได้เปิดตัว CVSS v4.0 อย่างเป็นทางการ ซึ่งเป็นมาตรฐาน Common Vulnerability Scoring System รุ่นถัดไป 8ปีหลังจาก CVSS v3.0 ซึ่งเป็นเวอร์ชันหลักก่อนหน้านี้

CVSS เป็น framework มาตรฐานสำหรับการประเมินความรุนแรงของช่องโหว่ด้านความปลอดภัยของซอฟต์แวร์ที่ใช้ในการกำหนดคะแนนตัวเลขหรือการแสดงเชิงคุณภาพ (เช่น ต่ำ ปานกลาง สูง และสำคัญ) โดยพิจารณาจากความสามารถในการหาประโยชน์ ผลกระทบต่อการรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และสิทธิ์ที่จำเป็นที่สูงกว่า คะแนนแสดงถึงช่องโหว่ที่รุนแรงยิ่งขึ้น ช่วยจัดลำดับความสำคัญในการตอบสนองต่อภัยคุกคามด้านความปลอดภัย เนื่องจากเป็นวิธีที่สอดคล้องกันในการประเมินผลกระทบของช่องโหว่และเปรียบเทียบความเสี่ยงระหว่างระบบและซอฟต์แวร์ต่างๆมาตรฐานที่ได้รับการปรับปรุงใหม่นี้นำเสนอรายละเอียดที่ละเอียดยิ่งขึ้น  ลดความซับซ้อนของตัวชี้วัดภัยคุกคาม และเพิ่มประสิทธิภาพในการประเมินข้อกำหนดด้านความปลอดภัย

นอกจากนี้ ยังมีการเพิ่มตัวชี้วัดเสริมหลายประการสำหรับการประเมินช่องโหว่ รวมถึงแบบอัตโนมัติ, การกู้คืน, ความพยายามในการตอบสนองช่องโหว่ และความเร่งด่วนของผู้ให้บริการ การปรับปรุงที่สำคัญของ CVSS เวอร์ชัน 4.0 คือการบังคับใช้เพิ่มเติมกับ OT/ICS/IoT ด้วยตัววัดความปลอดภัย เวอร์ชันล่าสุดนี้ยังเพิ่มระบบการตั้งชื่อใหม่ด้วยระดับความรุนแรงของ Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE) และ Base + Threat + Environmental (CVSS-BTE) รายการการเปลี่ยนแปลงทั้งหมดที่มาพร้อมกับมาตรฐาน CVSS เวอร์ชัน 4.0 รวมถึงรายละเอียดที่ละเอียดยิ่งขึ้นผ่านตัววัด/ค่าฐานใหม่และตัววัดผลกระทบที่ดีขึ้น

FIRST เปิดตัว CVSS 4.0 ในเดือนมิถุนายน ในระหว่างการประชุมประจำปีครั้งที่ 35 ในเมืองมอนทรีออล ประเทศแคนาดา ในฐานะ "ผู้เปลี่ยนเกมในภาคไซเบอร์" 18 ปีหลังจากการเปิดตัว CVSS เวอร์ชัน 1 ในเดือนกุมภาพันธ์ พ.ศ. 2548

ระบบ CVSS ได้รับการพัฒนาอย่างรวดเร็วในช่วง 18 ปีที่ผ่านมา โดยแต่ละเวอร์ชันสร้างขึ้นจากความสามารถของเราในการป้องกันจากอาชญากรรมทางไซเบอร์

Ref: New CVSS 4.0 vulnerability severity rating standard released

‍