近日，事故響應與安全團隊論壇（FIRST）正式發布了通用漏洞評分系統標準CVSS v4.0，這個全新版本距離上一版 CVSS v3.0 已經過去了八年。

CVSS 是評估軟件安全漏洞嚴重性的標準化框架，可根據可利用性、可依據保密性、完整性、可用性和所需權限的影響等因素進行評分，或以低、中、高和關鍵幾種等級定性，最終分數越高則表示漏洞越嚴重。

這種評估方法可能夠通過漏洞的影響來比較不同系統和軟件的風險，有助于人們優先應對安全威脅。

FIRST 方面表示：這一版修訂后的評估標準為消費者提供了更加精細的基礎指標，消除了之前模糊的下游評分，簡化了威脅指標，并提高了評估特定環境安全要求和補償控制的有效性。此外，新版標準還增加了幾個用于漏洞評估的補充指標，包括自動（可蠕蟲）、漏洞響應力度和緊迫性等。

今年 6 月，FIRST 在加拿大蒙特利爾舉行的第 35 屆年會上正式發布了 CVSS 4.0 版本，并稱其為 "網絡領域的游戲規則改變者"，此版本距離 2005 年 2 月發布的 CVSS 第一版本已經過去了 18 年。

FIRST 首席執行官 Chris Gibson 表示：目前全球漏洞威脅數量顯著增加， CVSS4.0 版本的發布恰逢其時。在過去的 18 年中，CVSS 系統發展的很快，幾乎每一個版本都賦予了人們更強的抵御網絡犯罪的能力。我們對于 CVSS-SIG 開發 4.0 版本所付出的努力感到無比自豪。

作為一個會員制的組織，Chris Gibson認為其主要目標就是增強會員的能力，以及保護全球人民免受網絡攻擊。

去年，FIRST 還發布了 TLP 2.0，這是計算機安全事件響應小組（CSIRT）社區在共享敏感信息時使用的最新版交通燈協議（TLP）標準。