Common Vulnerability Scoring System (CVSS)

Common Vulnerability Scoring System (CVSS) adalah standar industri yang bebas dan terbuka untuk menilai tingkat keparahan (severity) kerentanan keamanan sistem. CVSS menetapkan skor severity dari sebuah kerentanan, memungkinkan responden untuk memprioritaskan object mana yang harus diperbaiki terlebih dahulu sesuai dengan tingkat resikonya. CVSS dikembangkan dan dikelola oleh FIRST.Org, organisasi yang bertujuan membantu Tim Tanggap Insiden Siber (Computer Security Incident Response Team /CSIRT).

CVSS terdiri dari 4 (empat) metric grup berikut:

Base score (CVSS-B)
- Base Score (CVSS-B)dirancang untuk mengukur tingkat keparahan (severity) kerentanan, dan tidak digunakan untuk mengukur risiko karena hanya mewakili karakteristik intristik dari kerentanan dan tidak bergantung pada faktor apapun yang terkait dengan ancaman / lingkungan sistem.
Threat Metric (CVSS-BT)
- Threat metric mengukur tingkat keparahan (severity) berdasarkan beberapa faktor, diantaranya ketersediaan pembuktian (proof of concept), atau eksploitasi aktif.
Environmental Metric (CVSS-BE)
- Environmental metric mengukur tingkat keparahan (severity) yang dihasilkan pada lingkungan komputasi tertentu, diantara bergantung pada faktor mitigasi dan kritikalitas sistem.
Suplemental Metric (CVSS-BTE)
- Supplemental metric menggambarkan dan mengukur atribut ekstrinsik tambahan dari kerentanan, dan untuk menambahkan konteks.

Keempat metric tersebut dapat digambarkan sebagai berikut.

Gambar 1. CVSS Metrics

CVSS adalah representasi numerik dari tingkat keparahan kerentanan yang juga dikenal sebagai " Skor dasar (base score) " dengan nilai skor dasar bervariasi dari 0 sampai 10. CVSS base score harus dilengkapi dengan analisis lingkungan (environmental metric) dan atribut yang dapat berubah dari waktu ke waktu (threat metric).

Versi terakhir yang dirilis adalah CVSS v.4.0.

Tingkat keparahan (severity) kerentanan dikelompokkan menjadi 4 (empat) sebagaimana ditunjukkan pada tabel berikut.

Tabel 1. CVSS V 3.x dan 4.0 Severity Rating

Kategori Kerentanan	Nilai CVSS
Kritikal (Critical)	9.0 s.d 10.0
Tinggi (High)	7.0 s.d. 8.9
Sedang (Medium)	4.0 s.d 6.9
Rendah (Low)	0.1 s.d. 3.9
None*	0.0

A01:2021-Broken Access Control

A02:2021 - Cryptographic Failures

A03:2021 - Injection

A04:2021 - Insecure Design Vulnerabilities

A05:2021 - Security Misconfiguration

A06:2021 - Vulnerable and Outdated Components

A07:2021 - Identification and Authentication Failures

A08:2021 - Software and Data Integrity Failures

A09:2021 - Security Logging and Monitoring

A10:2021 - Server-Side Request Forgery

Common Vulnerability Scoring System (CVSS)

Metrik Eksploitasi (Exploitation Metrics)

Metrik Dampak (Impact Metrics)

Metrik Ancaman (Threat Metrics)

Metrik Lingkungan (Environmental Metric)

a. Autentikasi

b. Manajemen Sesi

c. Persyaratan Kontrol Akses

d. Validasi Input

e. Kriptografi pada Verifikasi Statis

f. Penanganan Eror dan Pencatatan Log

g. Proteksi Data

h. Keamanan Komunikasi

i. Pengendalian Kode Berbahaya

j. Logika Bisnis

k. Keamanan File

l. Keamanan API dan Web Service

m. Keamanan Konfigurasi

Common Vulnerability Scoring System (CVSS)