常见的弱点枚举

得分连续波

常见的弱点评分系统(水煤浆™) manbetx客户端首页 版权©2014 http://cwe.mitre.org/cwss/
水煤浆版本:1.0.1	文档版本:1.0.1
修订日期:2014年9月5日
项目协调员: Bob Martin(斜方)	文档编辑器: 史蒂夫Christey Coley(斜方)

共同弱点评分系统(水煤浆)提供了一种机制优先软件弱点以一致的、灵活的、开放的方式。它是一个协作性的,基于社区的努力,解决利益相关者的需要在政府、学术界和工业。

软件开发人员经常面对成百上千的个别错误报告的弱点中发现他们的代码。在某些情况下,一个软件弱点甚至可以导致可利用的漏洞。由于大量的报道弱点,利益相关者常常不得不优先考虑的问题,他们应该先调查和修复,经常使用不完整的信息。简而言之,人们需要理性和沟通的相对重要性不同的弱点。今天同时使用各种评分方法,它们是临时或不恰当的应用到still-imprecise软件安全性的评价。

软件开发人员、经理、测试人员、安全供应商和服务供应商,买家,应用程序供应商,研究人员必须识别和评估软件的弱点,可能表现为漏洞时所使用的软件。然后他们需要能够优先考虑这些弱点和确定哪些解决基于构成最大威胁。当有太多的缺陷修复,每使用不同尺度的得分,并且经常操作和不完整的信息,各种社区成员,经理,测试人员,买家,和开发人员留给自己的方法找到一些方法,比较不同的弱点和将其转化为可操作的信息。

因为水煤浆标准化的方法描述弱点,水煤浆的用户可以调用攻击表面和环境指标应用上下文信息,更准确地反映了风险软件功能,由于特殊的业务上下文将函数内,它是为了提供独特的业务能力。这允许利益相关者作出更明智的决定,当试图降低风险所带来的缺点。

水煤浆是不同于——而不是竞争对手——普通危险得分系统(CVSS)。这些努力有不同的角色,和他们一起可以利用。

水煤浆提供:

• 定量测量:水煤浆提供了一种定量测定的不固定的存在在一个软件应用程序的弱点。
• 常见的框架:水煤浆提供了一个通用框架优先安全错误(“弱点”)中发现的软件应用程序。
• 自定义优先级:会同常见的弱点风险分析框架(CWRAF),可以使用水煤浆消费者识别最重要的业务域类型的弱点,为了通知他们的收购和保护活动作为一个大过程的一部分实现软件的保证。

1.1水煤浆是什么?

水煤浆分为三种指标组:基地发现,攻击表面,和环境。每组包含多个指标——也被称为因素——这是用来计算一个水煤浆得分的一个弱点。

• 基地发现指标组:抓住了弱点的固有风险,对发现的准确性的信心,和力量的控制。
• 攻击表面指标组:攻击者必须克服的障碍,以利用的弱点。
• 环境指标组的弱点:特点是特定于一个特定的环境或操作上下文。

1.2其他弱点评分系统

各种弱点评分系统已使用或提出。自动化工具如源代码扫描仪通常执行自己的自定义评分;因此,多个工具可以产生不一致的分数相同的弱点。

普通危险得分系统(CVSS)也许是最相似的评分系统。但是,有一些重要的局限性,使其难以适应软件安全评估。更详细的比较附录A。

更多细节在其他评分系统,包括适应CVSS,提供了附录B。

1.3水煤浆是如何工作的呢?

1.3.1分数计算

底部发现指标组中的每个因素被分配一个值。这些值转换成相关权重,计算基本“发现”的得分。基地“发现”的得分范围可以在0到100之间。同样的方法应用于攻击表面和环境指标组;他们的部分的得分范围在0和1之间。最后,三个部分的得分相乘,产生一种水煤浆分数在0到100之间。

1.3.2在水煤浆评分方法

利益相关者社区与斜方合作调查不同的计分方法,可能需要支持在水煤浆框架。

方法	笔记
有针对性的	分个人弱点中发现的设计或实现一个特定的软件包(“目标”),例如缓冲区溢出的用户名认证服务器的日常在第1234行。c在FTP服务器包。 自动化工具和软件安全顾问使用有针对性的方法在评估一个软件包的安全方面的缺点包含在包中。
广义	分类型的弱点独立于任何特定的软件包,为了优先(如相对于彼此。“缓冲区溢出的优先级高于内存泄漏”)。使用这种方法CWE / SANS, OWASP前十名,和类似的努力,还通过一些自动化代码扫描仪。 广义分数可以从目标分数变化显著,结果从一个完整的分析个人的弱点类的出现在一个特定的软件包。例如,当类的缓冲区溢出许多开发人员仍然非常重要,个人缓冲区溢出漏洞可能被认为是不太重要,如果他们不能直接由攻击者和他们的影响是减少由于操作系统保护机制,如本主题。
Context-adjusted	修改分数按照特定的需要分析上下文可能集成业务/任务优先级、威胁环境,风险承受能力等。这些需求捕获小插曲该链接固有的弱点和更高级的业务考虑的特征。这种方法可以应用到目标和广义得分。
聚合	结合多个结果,较低级别的成绩产生一个弱点,总分(或“年级”)。虽然聚合可能最适用于有针对性的方法,它也可以用于广义得分,发生在2010年CWE /无排名前25位。

对水煤浆注意当前的焦点在目标评分方法和框架context-adjusted得分。聚合方法得分。广义得分分别正在开发,主要是2011年前25和CWRAF的一部分。

1.4执行得分谁?

水煤浆的分数可以自动计算,如代码分析工具,也可以是手动计算软件安全顾问或开发人员。由于自动化分析是不可能有一定的信息,如应用程序的操作环境,水煤浆得分可能进行多轮:工具自动计算水煤浆的分数,然后人类分析师手动添加额外的细节和重新计算分数。

1.5谁拥有水煤浆?

水煤浆是一种常见的弱点枚举(CWE)项目的一部分,由软件共同保证项目办公室的网络和通信的美国国土安全部(DHS)。

1.6使用水煤浆是谁?

最有效,水煤浆支持多个使用场景的不同利益相关者的所有有兴趣一致的评分系统优先考虑软件的弱点,可以引入风险产品,系统,网络和服务。下面列出了一些主要的利益相关者。

利益相关者	描述
软件开发人员	开发人员通常在有限的时间框架,由于发布周期和有限的资源。结果是,他们无法调查和修复所有报道的弱点。他们可以选择专注于最糟糕的问题,easiest-to-fix。对于自动发现弱点,因而他们可能会选择关注最不可能是假阳性的结果。
软件开发经理	开发经理创建优先策略和删除整个类整个代码库的弱点,或者至少被认为是最危险的部分,可能通过定义定制的“头n个”名单。他们必须理解集成第三方软件的安全影响,它可能包含自己的弱点。他们可能需要支持不同的安全需求和优先级为每个产品线。
软件收购方	客户,包括收购人员,想获得第三方软件的合理水平上保证该软件提供商执行尽职调查在消除或避免弱点最收购者的业务和任务的关键。相关的利益相关者包括cio、公民社会组织、系统管理员和最终用户的软件。
企业安全管理人员	企业安全管理人员寻求最小化风险在他们的企业,为著名的第三方产品中的安全漏洞,以及漏洞(或劣势)在自己的内部软件。他们可能希望使用评分机制,可以集成与其他安全管理流程,如结合第三方的漏洞扫描结果与自定义应用程序(用于第三方的漏洞)分析(内部软件)来帮助评估资产的整体风险。
代码分析供应商和顾问	供应商和顾问通常有自己的定制的得分技术,但是他们希望提供一个一致的,community-vetted不同客户评分机制。
代码分析能力的评估	评价者分析和测量的功能代码分析技术(例如,NIST SAMATE)。他们可以使用一致的弱点评分机制支持抽样报告的发现,以及理解这些发现的严重程度没有根据临时评分方法,可以通过工具/技术差别很大。
其他利益相关者	其他利益相关者可能包括脆弱性研究人员、安全发展的倡导者,和种基于合规性分析人士(如PCI DSS)。

截至2014年7月(水煤浆0.8活跃时),有几个水煤浆的实际实现。主用户代码分析供应商和软件安全顾问。

2.1因素指标组

水煤浆包含以下因素,组织基于其度量组:

集团	的名字	总结
基地发现	技术的影响(TI)	潜在的弱点,产生的结果,可以假设弱点可以被成功地达到和利用。
基地发现	获得特权(美联社)	特权的类型由攻击者获得成功利用的弱点。
基地发现	获得特权层(AL)	操作层的攻击者成功地利用收益管理特权的弱点。
基地发现	内部控制有效性(IC)	控制的能力呈现疲软无法被攻击者利用。
基地发现	找到信心(FC)	报告问题的信心是可以被攻击者利用的弱点
攻击表面	所需的特权(RP)	的特权类型攻击者必须已经以达到代码/功能包含的弱点。
攻击表面	需要特权层(RL)	攻击者必须有特权的操作层为了试图攻击的弱点。
攻击表面	访问向量(AV)	攻击者必须达到沟通的渠道代码或功能,其中包含的弱点。
攻击表面	身份验证强度(作为)	身份验证常规保护的强度/功能包含的代码的弱点。
攻击表面	水平的交互(在)	人类所需的行动的受害者(s),使一个成功的攻击。
攻击表面	部署范围(SC)	弱点是否存在于所有部署软件的实例,或者如果它是有限的平台和/或配置的子集。
环境	业务影响(BI)	业务或任务的潜在影响,如果可以成功利用的弱点。
环境	发现的可能性(DI)	攻击者可以发现缺陷的可能性
环境	利用的可能性(特异)	的可能性,如果发现弱点,攻击者需要的特权/认证/访问能够成功地利用它。
环境	外部控制有效性(EC)	控制或缓解措施的能力之外的软件,攻击者可能呈现的弱点更加难以达到和/或触发器。
环境	患病率(P)	这种类型的弱点的频率出现在软件。

每个因素在后面的部分中更详细地描述。

2.2值的不确定性和灵活性

水煤浆的情况下可以使用几乎没有信息,但是信息的质量可以改善随着时间的推移。预计在许多用例,水煤浆分数的个人弱点发现可能经常变化,随着越来越多的信息被发现。不同实体可能决定单独的因素在不同的时间点。

因此,每个水煤浆因素有效地有“环境”或“时间”的特点,所以它并不是非常有用,采用相同类型的指标用于CVSS团体。

大多数因素这四个价值观的共同点:

价值	使用
未知的	计算分数的实体没有足够的信息来提供一个价值的因素。这可能是一个信号进一步调查。例如,一个自动化的代码扫描器可以找到某些弱点,但无法检测是否有身份验证机制。 使用“未知”强调分数不完整或估计,并进一步分析可能是必要的。这使它更容易模型不完整的信息,和商业价值的环境影响最终成绩生成使用不完整的信息。 这个值是0.5的重量因素,通常会产生一个较低的分数;添加新的信息(即。从“未知”,改变一些因素到另一个值)将调整向上或向下基于新的信息。
不适用	因子得分计算显式地忽略了。这有效地允许业务价值背景决定一个相关因素是最终的得分。例如,一个以水煤浆评分方法可能忽略补救工作,和高保障环境可能需要所有报告的调查发现,即使在其准确性有信心不足。 为一组弱点发现一个单独的软件包,预计所有的发现都有相同的“不适用”价值的因素被忽略了。
量化	因素可以使用量化加权,连续的0.0到1.0范围,而不是离散值的因素的定义。以这种方式并不是所有的因素都是可以量化的,但它允许额外的度规的定制。
默认的	因素的重量可以设置为默认值。标签的因素作为默认允许调查和可能的修改在稍后的时间。

2.3基地发现指标组

底部发现指标组包括下列因素:

• 技术的影响(TI)
• 获得特权(美联社)
• 获得特权层(AL)
• 内部控制有效性(IC)
• 找到信心(FC)

从技术的组合值的影响,获得的特权,以及获得特权层为用户提供一些表达能力。例如,用户可以描述“高”技术的影响在“应用程序”与“管理员”特权层。

2.3.1技术影响(TI)

技术的影响是潜在的弱点,产生的结果,可以假设弱点可以被成功地达到和利用。这是用更细粒度的机密性、完整性和可用性。

技术影响应该评估相对于获得特权(美联社)和获得特权层(AL)。

价值	代码	重量	描述
至关重要的	C	1.0	完全控制软件被分析的操作无法进行。
高	H	0.9	重要的控制被分析的软件,或可获得重要的信息。
媒介	米	0.6	适度控制被分析的软件,或获得适度可获得重要的信息。
低	l	0.3	最小的控制被分析的软件,或只能获得访问相对不重要的信息。
没有一个	N	0.0	没有任何技术的影响被分析的软件。换句话说,这不会导致一个弱点。
默认的	D	0.6	默认的重量是中等重量的关键,高,中,低,没有。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。这个因素可能并不适用于一个环境保证高要求;用户可能想要调查找到感兴趣的每一个弱点,无论信心。
量化	问		这个因素可以量化和自定义权重。

如果这组值不够准确,水煤浆,用户可以使用自己的“量化方法获得”的得分。其中一个方法涉及使用常见的弱点风险分析框架(CWRAF)定义一个记分卡vignette和技术的影响。重量的影响使用vignette-specific重要度计算为不同的技术可能产生的影响从剥削的弱点,如修改敏感数据,获得特权,资源消耗等。

2.3.2获得特权(美联社)

获得特权标识权限的类型由攻击者获得成功利用的弱点。

注意到所需的值相同的特权,但是重量是不同的。

在某些情况下,获得特权的值可能是一样需要的特权,这意味着要么(1)“横向”特权升级(如从一个非特权用户在另一个)或(2)沙箱内特权升级,比如FTP-only用户可以逃到shell。

价值	代码*	重量	描述
管理员	一个	1.0	攻击者可以访问一个实体管理员,根,系统,或同等的特权意味着完全控制下的软件分析;或者,攻击者可以提高自己的(低)管理员的特权。
Partially-Privileged用户	P	0.9	攻击者可以访问一个实体有一些特权,但没有足够的权限,管理员是等价的;或者,攻击者可以提高他们自己的(低)partially-privileged用户的特权。例如,一个用户可能有特权进行备份,但不修改软件的配置或安装更新。
普通用户	俄文	0.7	攻击者可以访问一个实体,是一个普通用户没有特权;或者,攻击者可以提高他们自己的(低)普通用户的权限。
有限公司/客人	l	0.6	攻击者可以访问一个实体或有限的“客人”的特权,可以极大地限制允许的活动;或者,攻击者可以提高他们自己的(低)特权的客人。注意:这个值并不指的是“客户操作系统”的概念在虚拟主机。
没有一个	N	0.1	攻击者无法获得任何额外的特权之外,已经提供给攻击者。(注意,这个值可以是有用的在有限的情况下,攻击者可以逃脱一个沙箱或者其他限制性的环境,但仍不能获得额外的特权,或者获得其他用户)。
默认的	D	0.7	中值权重的,没有一个客人,普通用户,Partially-Privileged用户和管理员。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。这个因素可能并不适用于一个环境保证高的要求,要严格执行特权分离,甚至已享有特权用户之间。
量化	问		这个因素可以量化和自定义权重。请注意,量化值支持完整性;然而,由于用户特权和离散的实体,可能有有限的情况下,量化模型将是有用的。

2.3.3获得特权层(AL)

获得特权层识别操作层的攻击者成功地利用收益管理特权的弱点。

价值	代码*	重量	描述
应用程序	一个	1.0	攻击者获得特权支持下在软件分析本身。(如果软件分析是一个重要的底层系统的一部分,例如一个操作系统内核,则系统价值可能更合适。)
系统	年代	0.9	攻击者获得特权的底层系统或物理主机被用于运行下的软件分析。
网络	N	0.7	攻击者获得特权访问网络。
企业基础设施	E	1.0	攻击者获得特权企业基础设施的一个关键环节,如路由器、交换机、DNS、域控制器、防火墙、身份认证服务器,等等。
默认的	D	0.9	中等重量的应用程序,系统,网络和企业基础设施。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。 这个因素可能并不适用于一个环境保证高的要求,要严格执行特权分离,甚至已享有特权用户之间。
量化	问		这个因素可以量化和自定义权重。请注意,量化值支持完整性;然而,由于特权层离散实体,可能有有限的情况下,量化模型将是有用的。

2.3.4内部控制有效性(IC)

内部控制是一种控制、保护机制或缓解已经明确内置软件(无论是通过架构、设计、实现)。内部控制有效性度量的能力控制呈现疲软无法被攻击者利用。例如,一个输入验证例程限制输入长度为15字符可能是适度的大小对XSS攻击有效减少XSS漏洞,可以尝试。

当有多个内部控制,或多个代码路径,可以达到相同的弱点,那么以下指导适用于:

• 对于每一个代码路径,分析每个内部控制存在的代码路径,并选择最低的重量(即价值。,最强大的内部控制代码路径)。这就是所谓的代码路径值。
• 收集所有代码路径值。
• 选择体重最高的代码路径值(即。是最弱的控制)。

这种方法评估每个代码路径的代码路径最强大的控制(因为攻击者绕过控制),然后选择最弱的代码路径(即。,最简单的路线为攻击者)。

价值	代码	重量	描述
没有一个	N	1.0	不存在控制。
有限的	l	0.9	有简单的方法或意外的限制可能防止随意攻击者利用的问题。
温和的	米	0.7	保护机制是常用的,但已知的限制可能知识渊博的攻击者绕过一些努力。例如,使用HTML实体编码,以防止XSS攻击时可能会绕过输出放入另一个上下文如层叠样式表或HTML标签属性。
间接(深度防护)	我	0.5	控制不专门防止剥削的弱点,但它间接地降低了影响成功的攻击时启动,或者使它更加难以构建一个功能开发。例如,验证例程可能间接限制输入的规模,这可能使攻击者很难构建一个有效载荷XSS或SQL注入攻击。
最佳可用	B	0.3	控制是当前最好的做法,虽然可能有一些限制,可以克服由技术熟练的,攻击者决定,可能需要其他的存在弱点。例如,double-submit CSRF保护方法被认为是最强的,但它可以被打败与行为的某些功能,可以阅读原始的HTTP标头。
完整的	C	0.0	控制弱点是完全有效的,即,没有缺陷或漏洞,没有不良后果的利用问题。例如,一个缓冲区复制操作,确保目标缓冲区总是大于源(加上任何间接的扩张原始大小)不会导致一个溢出。
默认的	D	0.6	中等重量的完整,最好的,间接的,温和的,有限的,没有。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。
量化	问		这个因素可以量化和自定义权重。

2.3.5找到信心(FC)

发现信心信心报告的问题:

1. 是一个弱点,
2. 可以引发或被攻击者利用

价值	代码	重量	描述
证明其真实性	T	1.0	攻击者的弱点是可获得的。
证明当地真实的	LT	0.8	弱点发生在单个函数或组件的设计依赖于安全调用这个函数,但攻击者可达性函数是未知或不存在。例如,一个效用函数可以构造一个数据库查询没有编码输入,但如果只是用常量字符串,调用本地的发现是正确的。
被证明是错误	F	0.0	这一发现是错误的(即发现是假阳性,没有弱点),和/或没有可能的攻击者的角色。
默认的	D	0.8	中等重量的证明事实,证明当地真的,证明是错误的。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。 这个因素可能并不适用于一个环境保证高要求;用户可能想要调查找到感兴趣的每一个弱点,无论信心。
量化	问		这个因素可以量化和自定义权重。一些代码分析工具的精确测量特定的检测模式的准确性。

2.4攻击表面指标组

攻击表面指标组包括下列因素:

• 所需的特权(RP)
• 需要特权层(RL)
• 访问向量(AV)
• 身份验证强度(作为)
• 水平的交互(在)
• 部署范围(SC)

2.4.1所需的特权(RP)

所需的特权标识类型的特权,攻击者必须已经以达到代码/功能包含的弱点。

价值	代码*	重量	描述
没有一个	N	1.0	不需要权限。例如,一个基于网络的搜索引擎为一个实体可能不需要任何特权来输入一个搜索词并查看结果。
有限公司/客人	l	0.9	实体有限或“客人”的特权,可以极大地限制允许活动;实体可以注册或创建一个新的帐户没有任何特殊要求或身份证明。例如,一个网络博客可能允许参与者创建一个用户名和提交一个有效的电子邮件地址在进入评论。注意:这个值并不指的是“客户操作系统”的概念在虚拟主机。
普通用户	俄文	0.7	实体是一个普通用户没有特权。
Partially-Privileged用户	P	0.6	实体是一个有效的用户提供一些特权,但没有足够的权限,管理员是等价的。例如,一个用户可能有特权进行备份,但不修改软件的配置或安装更新。
管理员	一个	0.1	实体管理员,根,系统,或同等的特权意味着完全控制软件或底层操作系统。
默认的	D	0.7	中间没有重量的,有限的,普通用户,Partially-Privileged用户和管理员。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。 这个因素可能并不适用于一个环境保证高的要求,要严格执行特权分离,甚至已享有特权用户之间。
量化	问		这个因素可以量化和自定义权重。请注意,量化值支持完整性;然而,由于用户特权和离散的实体,可能有有限的情况下,量化模型将是有用的。

2.4.2需要特权层(RL)

所需的特权层识别攻击者必须有特权的操作层为了试图攻击的弱点。

价值	代码*	重量	描述
应用程序	一个	1.0	攻击者必须有特权支持下在软件分析本身。(如果软件分析是一个重要的底层系统的一部分,例如一个操作系统内核,则系统价值可能更合适。)
系统	年代	0.9	攻击者必须有权限使用的底层系统或物理主机运行下的软件分析。
网络	N	0.7	攻击者必须有权限访问网络。
企业基础设施	E	1.0	攻击者必须有权限在企业基础设施的一个关键环节,如路由器、交换机、DNS、域控制器、防火墙、身份认证服务器,等等。
默认的	D	0.9	中等重量的应用程序,系统,网络和企业基础设施。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。 这个因素可能并不适用于一个环境保证高的要求,要严格执行特权分离,甚至已享有特权用户之间。
量化	问		这个因素可以量化和自定义权重。请注意,量化值支持完整性;然而,由于特权层离散实体,可能有有限的情况下,量化模型将是有用的。

2.4.3访问向量(AV)

访问向量确定攻击者必须达到沟通的渠道代码或功能,其中包含的弱点。请注意,这些值非常类似于CVSS的,除了水煤浆区分物理访问和本地(shell /账户)访问。

虽然有访问向量和所需的特权层之间的密切关系,这两个是不同的。例如,攻击者与“物理”访问路由器可以影响到网络或企业层。

价值	代码	重量	描述
互联网	我	1.0	攻击者必须能够访问互联网的弱点。
内部网	R	0.8	攻击者必须能够访问企业内部网屏蔽来自直接访问互联网,例如通过使用一个防火墙,否则可以访问内部网的多数成员企业。
私有网络	V	0.8	攻击者必须能够访问私有网络,仅仅是可存取的狭义的值得信赖的政党。
相邻的网络	一个	0.7	攻击者必须能够访问网络的物理接口,如广播或脆弱的软件的冲突域。本地网络的例子包括本地IP子网,蓝牙,IEEE 802.11,和本地以太网段。
当地的	l	0.5	攻击者必须有一个互动,本地(壳)账户接口直接与底层操作系统。
物理	P	0.2	攻击者必须有物理访问的系统上运行的软件,或者能够通过接口与系统交互,如USB, CD,键盘,鼠标等。
默认的	D	0.75	中等重量的相关值。
未知的	U	0.5
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。
量化	问		这个因素可以量化和自定义权重。请注意,量化值支持完整性;然而,由于访问向量离散实体,可能有有限的情况下,量化模型将是有用的。

2.4.4认证强度(作为)

认证的认证强度覆盖强度常规保护代码/功能包含的弱点。

当有多个身份验证程序,或多个代码路径,可以达到相同的弱点,那么以下指导适用于:

• 对于每一个代码路径,分析每个验证例程存在的代码路径,并选择最低的重量(即价值。,最强大的身份验证例程代码路径)。这就是所谓的代码路径值。
• 收集所有代码路径值。
• 选择体重最高的代码路径值(即。,包含最弱的例程)。

这种方法评估每个代码路径的代码路径最强大的身份验证例程(因为攻击者绕过控制),然后选择最弱的代码路径(即。,最简单的路线为攻击者)。

价值	代码	重量	描述
强大的	年代	0.7	弱点需要strongest-available方法将实体真实的身份,如基于硬件令牌,和/或多因素身份验证。
温和的	米	0.8	弱点需要身份验证使用适度强有力的方法,比如使用的证书不受信任的机构,以知识为基础的认证,或者一次性的密码。
弱	W	0.9	弱点需要一个简单的,弱的身份验证方法,使用欺骗很容易妥协,字典,或重播攻击,如静态密码。
没有一个	N	1.0	缺点不需要任何身份验证。
默认的	D	0.85	中位数的值强,温和,虚弱,没有。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。 这可能不是适用的环境保证高要求寻求消除所有的弱点。
量化	问		这个因素可以量化和自定义权重。

2.4.5水平的交互(在)

互动的水平覆盖人类所需的行动的受害者(s)使一个成功的攻击。

价值	代码	重量	描述
自动化	一个	1.0	不需要人工交互。
典型的/有限	T	0.9	攻击者必须说服用户执行操作中常见的或被认为是“正常”的典型产品的操作。例如,点击一个链接在一个web页面,或电子邮件预览的身体,是很常见的行为。
温和的	米	0.8	攻击者必须说服用户执行一个动作,可能出现可疑的谨慎,知识渊博的用户。例如:用户必须接受一个警告,表明攻击者的有效载荷可能包含危险的内容。
机会主义的	O	0.3	攻击者无法直接控制或影响的受害者,而只能被动地利用别人的错误或操作。
高	H	0.1	需要大量的社会工程,其中可能包括无知或疏忽的受害者。
没有相互作用	倪	0.0	没有互动,没有机会;这通常会呈现疲软导致的“错误”而不是弱点。因为水煤浆是安全,重量是0。
默认的	D	0.55	中位数的值自动的,有限的,温和的,投机取巧,高,没有互动。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。 这可能不是适用于有高保障需求的环境中,或一个具有较高的环境担忧内幕攻击人们之间建立信任关系。
量化	问		这个因素可以量化和自定义权重。

2.4.6部署范围(SC)

部署范围确定的弱点存在于所有部署实例是否软件,或如果它是有限的平台和/或配置的子集。例如,数值计算误差可能只适用于软件运行在一个特定的操作系统和64位架构,或一个路径遍历问题可能只影响的操作系统被视为一个目录分隔符“\”。

价值	代码*	重量	描述
所有	一个	1.0	存在于所有平台或配置
温和的	米	0.9	在常见的平台或配置
罕见的	R	0.5	只出现在罕见的平台或配置
潜在的可获得的	P	0.1	潜在的可获得的* *目前,但所有代码路径的安全,和/或弱点是死代码
默认的	D	0.7	中位数坡道的权重值
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。
量化	问		这个因素可以量化和自定义权重。用户可能知道发货的百分比(或支持)软件包含这个bug。

2.5环境指标组

环境指标小组由下列因素:

• 业务影响(BI)
• 发现的可能性(DI)
• 利用的可能性(特异)
• 外部控制有效性(EC)
• 患病率(P)

2.5.1业务影响(BI)

业务影响描述业务或任务的潜在影响,如果可以成功利用的弱点。*

价值	代码	重量	描述
至关重要的	C	1.0	业务/任务可能会失败。
高	H	0.9	业务/任务的操作将会显著影响。
媒介	米	0.6	业务/任务会受到影响,但没有广泛的破坏常规操作。
低	l	0.3	影响最小的业务/任务。
没有一个	N	0.0	没有影响。
默认的	D	0.6	权重值的关键,高,中,低,没有。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。 这个因素可能并不适用于上下文的业务影响是无关紧要的,或影响被评估和分析过程中考虑外部的水煤浆分数本身。
量化	问		这个因素可以量化和自定义权重。有些组织可能有特定的度量业务价值的资产,例如,可以集成到这个测量。

2.5.2发现(DI)的可能性

发现的可能性是攻击者可以发现缺陷的可能性。

价值	代码	重量	描述
高	H	1.0	很有可能攻击者可以迅速发现弱点和很少使用简单的技术工作,而无需访问源代码或其他构件简化弱点检测。
媒介	米	0.6	攻击者可以发现弱点,但需要某些技能,可能需要源代码访问或逆向工程知识。它可能需要一些时间投资找到问题。
低	l	0.2	攻击者不太可能发现弱点没有高度专业化的技能,获得源代码(或其等价的),和一个大的时间投资。
默认的	D	0.6	中位数的高、中,低价值。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。 这可能不适用,当射手假定所有的弱点都将被攻击者发现。
量化	问		这个因素可以量化和自定义权重。

2.5.3利用的可能性(特异)

利用的可能性的可能性,如果发现弱点,攻击者需要的特权/认证/访问能够成功地利用它。

价值	代码	重量	描述
高	H	1.0	很有可能成功,攻击者将目标这一弱点,可靠的利用,是很容易开发发展的。
媒介	米	0.6	目标这个弱点攻击者可能会成功,但成功的机会可能各有不同,或需要多次尝试成功。
低	l	0.2	攻击者可能不会目标这一弱点,或有可能成功的机会非常有限。
没有一个	N	0.0	攻击者没有成功的机会;即。,这个问题是一个“错误”,因为没有任何攻击者的角色,攻击者也没有好处。
默认的	D	0.6	中位数的高、中、低的值。“没有”的期望价值被忽略一些疲软的结果将得到使用价值,包括它在计算中值会减少体重不直观的水平。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。 例如,射手可以假设攻击者可以利用他们能找到的一切弱点,或愿意投入大量资源来解决任何可能的障碍,利用成功。
量化	问		这个因素可以量化和自定义权重。

2.5.4外部控制有效性(EC)

外部控制有效性的能力控制或缓解措施以外的软件,攻击者可能呈现的弱点更加难以达到和/或触发器。例如,地址空间布局随机化(本)和减少类似的技术,但不消除,对缓冲区溢出攻击成功的机会。然而,本不是直接实例化在软件本身。

当有多个外部控制,或多个代码路径,可以达到相同的弱点,那么以下指导适用于:

• 对于每一个代码路径,分析每个外部控制存在的代码路径,并选择最低的重量(即价值。沿着代码路径,最强大的外部控制)。这就是所谓的代码路径值。
• 收集所有代码路径值。
• 选择体重最高的代码路径值(即。是最弱的控制)。

这种方法评估每个代码路径的代码路径最强大的控制(因为攻击者绕过控制),然后选择最弱的代码路径(即。,最简单的路线为攻击者)。

价值	代码	重量	描述
没有一个	N	1.0	不存在控制。
有限的	l	0.9	有简单的方法或意外的限制可能防止随意攻击者利用的问题。
温和的	米	0.7	保护机制是常用的,但已知的限制可能知识渊博的攻击者绕过一些努力。
间接(深度防护)	我	0.5	控制不专门防止剥削的弱点,但它间接地降低了影响成功的攻击时启动,或者使它更加难以构建一个功能开发。 例如,地址空间布局随机化(本)和减少类似的技术,但不消除,缓冲区溢出攻击成功的机会。由于响应通常是退出过程,结果仍然是一个拒绝服务。
最佳可用	B	0.3	控制是当前最好的做法,虽然可能有一些限制,可以克服由技术熟练的,攻击者决定,可能需要其他的存在弱点。例如,传输层安全性(TLS) / SSL 3在大部分网络操作,和更强的方法通常无法获得由于兼容性问题。
完整的	C	0.1	控制弱点是完全有效的,即,没有缺陷或漏洞,没有不良后果的利用问题。例如,一个沙箱环境可能文件访问操作限制到一个工作目录,这将防止开发路径遍历。 非零的体重是用来反映外部控制可能是不小心删除的可能性在未来,例如如果软件的环境变化。
默认的	D	0.6	完整的中值,最好的,间接的,温和的,有限的,没有。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。
量化	问		这个因素可以量化和自定义权重。

2.5.5患病率(P)

的患病率*找到识别这种类型的弱点的频率出现在软件。

这个因素是用于广义得分类的弱点,如开发自定义头n个弱点列表。当得分个人弱点发现在一个自动扫描背景下,这个因素可能会使用“不适用”价值。

价值	代码	重量* *	描述
广泛的	W	1.0	缺点是发现在大多数或所有的软件环境有关,并可能发生多次在同一软件包。
高	H	0.9	弱点是经常遇到的,但这不是普遍的。
常见的	C	0.8	定期遇到的弱点。
有限的	l	0.7	遇到的缺点是很少或从来没有。
默认的	D	0.85	中位数有限,常见的、高和普遍。
未知的	英国	0.5	没有足够的信息来为这个因素提供一个值。进一步分析可能是必要的。在未来,可能会选择一个不同的价值,这可能影响得分。
不适用	NA	1.0	这个因素是故意忽视分数计算,因为它不相关的射手是如何排列的弱点。 当执行目标得分对特定的弱点发现应用程序中,患病率通常是无关紧要,因为个人应用和分析技术确定弱点出现的频率,和许多聚合评分方法将产生更大的分数如果有更多的缺点。
量化	问		这个因素可以量化和自定义权重。精确的发病率数据可以在有限的用例,提供用户跟踪疲软数据在一个低水平的粒度。例如,开发人员可能会跟踪弱点在一套产品,或代码审核供应商可以测量软件分析了流行在整个客户基础。在之前版本的水煤浆,流行投票计算是基于从原始数据收集2010年前25名,使用离散值(范围1到4)然后调整到一个1到10的范围内。

水煤浆1.0分数的范围在0到100之间。它是计算如下:

BaseFindingSubscore * AttackSurfaceSubscore * EnvironmentSubscore

BaseFindingSubscore支持0到100之间的值。AttackSurfaceSubscore和EnvironmentSubscore支持值在0和1之间。

3.1基地“发现”的得分

基地“发现”的得分(BaseFindingSubscore)计算如下:

基础= [(10 * TechnicalImpact + 5 * (AcquiredPrivilege + AcquiredPrivilegeLayer) + 5 * FindingConfidence) * f (TechnicalImpact) * InternalControlEffectiveness) * 4.0

如果TechnicalImpact f (TechnicalImpact) = 0 = 0;否则f (TechnicalImpact) = 1。

的最大潜在BaseFindingSubscore是100。

的定义f (TechnicalImpact)在CVSS同等。它是用来确保0,如果技术影响的其他补充因素不会不经意地生成一个零分。

TechnicalImpact和AcquiredPrivilege / AcquiredPrivilegeLayer组合相同重量,BaseFindingSubscore的各占40%。(每生成一个sub-value最多10)。有一些调整寻找信心,占20%的基地(最多5)。InternalControlEffectiveness可以向下调整分数,也许为0,这取决于力量的任何内部控制应用于这个问题。InternalControlEffectiveness应用后,可能的结果范围是0到25之间,4.0系数是用来调整BaseFindingSubscore介于0到100之间。

3.2袭击“表面”的得分

AttackSurfaceSubscore计算为:

(20 * (RequiredPrivilege + RequiredPrivilegeLayer + AccessVector) + 20 * DeploymentScope + 15 * LevelOfInteraction + 5 * AuthenticationStrength] / 100.0

的组合需要的特权/访问占60%的攻击“表面”的得分;部署范围,另外20%;互动,15%;和认证,5%。身份验证需求得不到多少关注,假设下强烈的身份证明不会明显阻止攻击者试图利用这个安全漏洞。

由此产生一系列0到100之间的值,然后除以100。

3.3“环境”的得分

EnvironmentalSubscore计算为:

((10 * BusinessImpact + 3 * LikelihoodOfDiscovery + 4 * LikelihoodOfExploit + 3 *患病率)* f (BusinessImpact) * ExternalControlEffectiveness) / 20.0

如果BusinessImpact f (BusinessImpact) = 0 = = 0;否则f (BusinessImpact) = 1

BusinessImpact占环境得分的50%,它可以将最后得分为0。ExternalControlEffectiveness总是零(考虑到的风险,它可以如果环境变化)无意中删除,否则它可以产生重大影响最终的得分。LikelihoodOfDiscovery和LikelihoodOfExploit占35%的分数,和患病率为15%。

3.4公式的附加功能

的成绩有显著的多样性可以表示,尽管使用乘法的许多不同的因素,结合多个权重值小,意味着潜在的分数的范围有点偏向值低。

因为“不适用”价值观的重量1,公式总是有一个潜在的最高得分为100.0分。在极其罕见的情况下,某些因素被视为不适用(例如,技术的影响,业务的影响,和内部控制有效性),那么最低可能的分数是零。

当默认值用于大量的因素一个分数,使用水煤浆中定义的值权重为1.0,得分将斜严重偏低。中位数体重因素并不一定反映最可能的值,可以使用,所以选择默认的重量可能会改变在未来的版本中。理想情况下,公式将有一个属性中使用的默认值,相对接近50;非默认值的选择将最后得分向上或向下调整,从而提高精度。

“未知”的使用价值也普遍产生的分数,斜偏低。这可能是一个有用的功能,因为分数会更高,如果他们有更具体的信息。

使用代码作为指定为每个因素,水煤浆的分数可以存储在一个紧凑,machine-parsable,人类可读的格式,提供了细节分数是如何生成的。这非常类似于如何CVSS向量构造。

CVSS不同,并不是所有的水煤浆因素可以象征性地描述离散值。任何因素都可以量化的连续覆盖最初定义默认的离散值权重,使用“Q”价值。当计算使用CWRAF,其影响因素是有效的表达32分离技术的影响和层,其中许多不会适用于一个特定的弱点。对待每个作为一个单独的因素会影响大约两倍计算所需的许多因素水煤浆得分。此外,CWRAF使用业务价值的上下文(BVC)调整分数特定于业务的担忧也意味着水煤浆分数及其矢量可能是不一致的,如果他们是“运输”到其他域或小插曲。

考虑到这个问题,水煤浆1.0向量应该显式地列出每个因子的权重,尽管它增加向量的大小表示。

水煤浆的单因素向量的格式是:

FactorName:价值,重量

例如,“NA, 1.0”指定了一个“不适用”价值与体重患病率为1.0。说明符“AV: P, 0.2”表示“物理”值访问向量权重为0.2。

因素由斜杠字符,如:

AV:我,1.0 / RP: L, 0.9 /: N, 1.0

“AV”列表值和权重向量(访问),“RP”(需要特权级别),”“(认证强度)。

如果提供了水煤浆向量这并不实际重量值列表,然后一个实现应该报告错误或不一致,可能试图推断出水煤浆版本基于向量的因素和值,计算水煤浆得分的基础上推断出的版本,和比较原始分数。如果分数不一致,实现应该报告一个可能的错误或不一致。

4.1的例子:关键业务应用程序

考虑一个报道的弱点中,一个应用程序是一个公司的主要的收入来源,因此具有关键的业务价值。应用程序允许任意互联网用户只使用一个电子邮件地址注册一个帐户。用户可以利用应用程序的弱点获得管理员权限,但攻击不能成功,直到管理员的观点最近的一份报告——一种常见的用户活动。攻击者不能完全控制应用程序,但可以删除用户和数据。进一步假设没有控制防止软弱,但解决这个问题很简单,和有限的几行代码。

这种情况可以被捕获在水煤浆向量如下:

(TI: H, 0.9 /美联社:一,1.0 /艾尔:一,1.0 / IC: N, 1.0 / FC: T, 1.0 /

记者:L, 0.9 / RL:一,1.0 / AV:我,1.0 /:N, 1.0 /: T, 0.9 / SC: 1.0 /

BI: C, 0.9 / DI: H, 1.0 /例:H, 1.0 / EC: N, 1.0 / P: NA, 1.0)

向量分成多行了可读性。每一行代表一个指标组。

和价值观的因素如下:

因素	价值
技术的影响	高
获得的特权	管理员
获得特权层	应用程序
内部控制有效性	没有一个
找到信心	证明其真实性
所需的特权	客人
需要特权层	应用程序
访问向量	互联网
身份验证的力量	没有一个
水平的交互	典型的/有限
部署范围	所有
业务影响	至关重要的
发现的可能性	高
利用的可能性	高
外部控制的有效性	没有一个
患病率	不适用

这个向量的水煤浆的得分是92.6,推导如下:

• BaseSubscore:
• ((10 * TI + 5 * (AP + AL) + 5 * FC) * f (TI) * IC) * 4.0
• f (TI) = 1
• = [(10 * 0.9 + 5 * (1.0 + 1.0)+ 5 * 1.0)* 1 * 1.0)* 4.0
• = [(9.0 + 10.0 + 5.0)* 1.0)* 4.0
• = 24.0 * 4.0
• = 96.0
• AttackSurfaceSubscore:
• (20 * (RP + RL + AV) + 20 * SC + 15 + 5 * *) / 100.0
• = (20 * 20 * (0.9 + 1.0 + 1.0 + 1.0 + 15 * 0.9 + 5 * 1.0)/ 100.0
• = (58.0 + 20.0 + 13.5 + 5.0)/ 100.0
• = 96.5/100.0
• = 0.965
• EnvironmentSubscore:
• [(10 * BI DI + 4 + 3 * * EX + 3 * P) * f (BI) * EC) / 20.0
• f (BI) = 1
• = [(10 * 1.0 + 3 * 1.0 + 4 * 1.0 + 3 * 1.0)* 1 * 1.0)/ 20.0
• = [(10.0 + 3.0 + 4.0 + 3.0)* 1.0)/ 20.0
• = 20.0/20.0
• = 1.0

最后的得分是:

96.0 * 0.965 * 1.0 = 92.64 = = 92.6

4.2的例子:临界Wiki有限的业务

考虑这个水煤浆向量。假设使用的软件是一个wiki为中型企业跟踪社交活动。一些最重要的特征是,媒介技术影响应用程序管理员普通用户的应用程序,但是没有业务关键型应用程序,所以整个业务影响很低。还要注意,大部分的环境因素都设置为“不适用”。

(TI: M, 0.6 /美联社:一,1.0 /艾尔:一,1.0 / IC: N, 1.0 / FC: T, 1.0 /

总机:俄文,0.7 / RL: 1.0 / AV:我,1.0 /:W, 0.9 /:一,1.0 / SC: 1.0 / NA

BI: L, 0.3 / DI: NA, 1.0 /例:NA, 1.0 / EC: N, 1.0 / RE: NA, 1.0 / P: NA, 1.0)

向量分成多行了可读性。每一行代表一个指标组。

和价值观的因素如下:

因素	价值
技术的影响	媒介
获得的特权	管理员
获得特权层	应用程序
内部控制有效性	没有一个
找到信心	证明其真实性
所需的特权	普通用户
需要特权层	应用程序
访问向量	互联网
身份验证的力量	弱
水平的交互	自动化
部署范围	不适用
业务影响	低
发现的可能性	不适用
利用的可能性	不适用
外部控制的有效性	没有一个
患病率	不适用

这个向量的水煤浆的得分是51.1,推导如下:

• BaseSubscore:
• ((10 * TI + 5 * (AP + AL) + 5 * FC) * f (TI) * IC) * 4.0
• f (TI) = 1
• = [(10 * 0.6 + 5 * (1 + 1)+ 5 * 1)* f (TI) * 1) * 4.0
• = 84.0
• AttackSurfaceSubscore:
• (20 * (RP + RL + AV) + 20 * SC + 15 + 5 * *) / 100.0
• = (20 * (0.7 + 1 + 1)+ 20 * 1.0 + 15 * 1.0 + 5 * 0.9)/ 100.0
• = (54.0 + 20.0 + 15.0 + 4.5)/ 100.0
• = 93.5/100.0
• = 0.94 (0.935)
• EnvironmentSubscore:
• [(10 * BI DI + 4 + 3 * * EX + 3 * P) * f (BI) * EC) / 20.0
• f (BI) = 1
• = [(10 * 0.3 + 3 * 1.0 + 4 * 1.0 + 3 * 1.0)* f (BI) * 1) / 20.0
• = [(3.0 + 3.0 + 4.0 + 3.0)* 1.0 * 1.0)/ 20.0
• = (13.0 * 1.0)/ 20.0
• = 0.65

最后的得分是:

84.0 * 0.935 * 0.65 = 51.051 = = 51.1

4.3其他方法水煤浆分数可移植性

而不是记录每个人的体重在水煤浆向量,可以采用其他方法。

一种可能性是延长水煤浆向量记录额外的元数据,而不影响你的分数,但反映了版本或其他重要信息。元数据部分不一定需要捕获权重,本身。例如,水煤浆的版本可以被记录通过使用一个“因素”的名字,如“V”和的值代表了水煤浆的版本,如。“V: 1.1”。这将增加大约4个字节到每个水煤浆向量。然而,如果版本是编码在一个矢量,然后分配的权重将不再需要记录(量化值除外),所以由此产生的向量可以更短。

另一个方法是把元数据生成一套水煤浆分数(如技术影响记分卡如果使用CWRAF),但它可能太容易此元数据成为脱离分数/向量。量化因素仍将需要在一个向量表示,因为他们可以为每个弱点发现变化。

另一种方法是,当水煤浆分数从一方转移到另一个,然后接收方可以从给定的水煤浆计算得分向量,然后比较回馈分数与原来的分数。成绩上的差异表明,不同的机制正在使用提供者和receiverd之间,可能是不同版本的水煤浆。

在将来的版本中应该考虑以下。

5.1当前评分方法的局限性

5.1.1得分重量和分布

公式仍然需要改进,以确保潜在的范围distibuted分数更均匀。可能有意想不到的因素之间的相互作用,必须识别和解决。CVSS得分包含内置的调整,防止许多因素影响太多,同时也给一些偏好影响可利用性;类似的水煤浆的内置调整可能需要执行。

5.1.2中提高设计或建筑缺陷的优先级

水煤浆1.0没有提供任何明确的机制给更高的优先级设计或结构缺陷和实现漏洞。这可能是一个重要的区别,因为设计缺陷可能的妥协妥协整个软件包,但单个水煤浆分数对于这样一个设计缺陷可能成为“埋”如果有许多不同的实现bug。例如,一个单一的报告缺乏一个输入验证框架可能会携带更多的重量比多个个人XSS和SQL注入漏洞。这个问题可以加剧了如果使用聚合的分数。

它可能使用业务影响因素,但这个因素可能已经使用了它的最初目的。

“软弱”范围因素可以用来覆盖下面的场景。1.0在水煤浆,设计和架构缺陷接收相同的相对优先的实现问题,即使他们的软件可能会导致一个完整的妥协。也许是合理的使用一个单独的因素为了给设计/架构缺陷更大的重量,例如,缺乏一个输入验证框架(一个“发现”)可以给更高的优先级比几百个人发现XSS或SQL注入。*

5.1.3复合元素(链等)

也有一些挑战得分发现,结合多个弱点。就其本质而言,复合等元素链和复合材料涉及多个报道弱点之间的相互作用。等检测技术自动化代码扫描,多个CWE条目可能报道作为一个单独的发现链或复合。如果个人的分数在每个环节链分别计算,这可能会人为地抬高任何总分数。然而,有时复合元素大于各部分的总和,并结合多个弱点的影响高于任何个人的最大影响的弱点。这不是好的解决在当前水煤浆方案;然而,应该注意的是,CVSSv3可能包括指导得分链作为自己的独立实体,所以水煤浆的未来版本可能会效仿。

5.1.4其他类型的软件评估

预计水煤浆可考虑使用其他类型的软件评估,如安全、可靠性、和质量。弱点或其他代码质量问题可能会收到更高的优先级在CWRAF vignette-oriented方案,从安全、合规,或可维护性可能是重要的。这种用法与水煤浆1.0没有明确支持。然而,这样的质量相关问题可以在所需的特权一样获得特权,和所需的特权层一样获得特权层;也可以对商业的影响。

5.2社区审查和验证的因素

等待社区审查,水煤浆的未来版本可能会修改,删除或添加因素的方法。

只要有足够的利益相关者或用例的一个因素是很重要的,那么它是一个强大的理由保持因素在水煤浆,即使它不是对每个人都至关重要。别人时可以用“不适用”价值相关因素并不是他们自己的环境。然而,更多的因素指标,更多的复杂性。

5.3水煤浆和CWE版本更改评分的影响

参与评分因素的值可能会改变经常根据行业趋势。例如,发现一个特定的弱点可能会改变的可能性,如果检测技术改善(或如果有重点的转变,因为增加的攻击),或下降如果足够的开发人员避免方法的弱点,和/或如果自动保护机制达到大规模采用。

在未来,一些因素的默认值可能会直接从CWE获得数据。然而,新的CWE定期发布版本,一年约4或5次。如果CWE修改条目的方式影响CWSS-related因素,然后产生的水煤浆分数CWE的弱点可能不同,这取决于版本使用。理论上来说,然而,这可能是自动检测通过观察不一致水煤浆用于“默认”值的权重向量。

因为这些潜在的变化,是一个重大风险,水煤浆分数不会与跨组织或评估如果他们计算使用不同版本的水煤浆,小插曲,或者CWE。

预期的变化,水煤浆设计应考虑包括CWE和/或水煤浆在水煤浆向量表示版本号(或关联的元数据)。

最后,这些变化不应过于频繁地发生,因为每个变化可能导致水煤浆分数不可预知的变化,可能导致混乱和干扰战略努力修复缺陷的重要性突然减少。*虽然这可能是不可避免的水煤浆作为一种自然发展的结果,社会应试图阻止这种事的发生。

虽然分数可能改变水煤浆和CWE发展,不一定有要求一个组织re-score只要发布一个新版本,尤其是组织使用水煤浆仅供内部的目的。分数的可变性很大程度上是组织之间共享分数的问题。例如,一个软件开发人员可能有自己的internally-defined小品文和BVC,所以开发人员可能不需要(或愿意)分享水煤浆分数以外的组织。

水煤浆1.0的发布后,未来发展的时间表是不确定的。然而,未来的计划可能包括:

• 继续获得利益相关者验证为现有的因素,或反馈值和权重。现在水煤浆看到一些实际的使用,这些利益相关者会有价值的输入改善指标。
• 继续修改评分方法和公式,以便减少偏向低分数,不适用的数据和不完整或不影响成绩。
• 完善和评估汇总得分技巧。
• 定义一个数据交换表征水煤浆分数和向量,例如XML / XSD。
• 认证强度()的值可能需要更清楚的定义。它可能是合理的采用的方法如NIST中概述的四层特殊的出版物800 - 63(“电子认证指南”)和OMB备忘录04-04。然而,由于身份验证机制的力量可能降低随着时间的推移,由于攻击技术或计算能力的进步,它可能是有用的选择值,有效地“永不过时”。(On the other hand, this might make it difficult to compare CWSS scores if they were assigned at different times.)
• 目前尚不清楚是否理智的特权模式层充分表达还是有用的。一旦释放,独立验证CVSSv3, CVSS的模型应该被重提。

目前,软件保证社区的成员可以参与的发展水煤浆在以下方式:

• 本文档提供反馈。
• 检查当前定义的因素;建议修改当前的因素,任何额外的因素将是有用的。
• 评价计分公式和公式内因素的相对重要性。
• 为水煤浆定义特定的用例。

背书的CVSS概述

的普通危险得分系统(CVSS)是常用的排名出现在部署软件漏洞。CVSS为持续得分漏洞提供了一个通用的框架。

从概念上讲,CVSS和水煤浆是非常相似的。CVSS有一些重要的优势和局限性,然而。

CVSS的优势之一在于它的简单。CVSS总体得分分为14个独立的特点在三个指标组:基础,时间和环境。每一个特点是分解成两个或两个以上的不同值。例如,访问向量反映了攻击者必须利用漏洞的位置,与当地的可能值(本地系统身份验证),远程(在网络上),或网络相邻(在相同的物理或逻辑网络)。通常,除了CVSS分数,一个向量识别提供了选择为每个特征值。

相关的文档,CVSS得分相当可重复,即。,不同的分析人士通常会生成相同的分数的脆弱性。然而,可以生成不同的分数,当信息是不完整的,和重大变化是可能的如果分析师不密切关注文档。而简化的机密性/诚信/可用性模型没有提供所需的深度和灵活性通过一些安全专家,CVSS为非专业提供有用的一致性系统和网络管理员优先漏洞。

CVSS已经被广泛采用,尤其是使用基础分数的基础指标组。一些组织使用CVSS的时间和环境部分,但这是相对罕见,所以这些度量组织可能没有足够的审查在现实世界中。

由水煤浆与CVSS的使用场景

CVSS的使用场景不同于水煤浆在以下方式:

• CVSS假定一个漏洞已经被发现和验证;在这个过程中早些时候水煤浆可以应用之前,任何漏洞已被证明。CVSS不是可伸缩的安全评估一个软件包。详细的评估,如自动化代码扫描,可能报告发现成千上万的弱点。由于高容量,这些发现之前,他们通常会需要得分和优先可以更密切地检查以确定他们导致的漏洞。水煤浆明确支持“未知”值时不完整的信息。
• CVSS分数不占不完整的信息,但水煤浆得分对不完全信息的内置支持。之前在水煤浆,得分可能是必要的弱点甚至导致一个漏洞。例如,得分实体——一个人类或机器是否可能不知道预期的操作环境或认证要求在初始水煤浆得分。在CVSS,不完整的信息有时是一个问题,因为许多漏洞报告不包含所需的所有相关信息得分。当信息丢失,一个保守的方法是选择将产生最大的CVSS分数值。这种方法和其他国家使用的漏洞数据库,但它可以人为地夸大成绩。保守的得分是可行的,只要大多数漏洞报告包含足够的信息。weakness-scoring上下文内,高百分比的弱点发现将缺少一个关键的信息,因为一些检测技术将无法可靠地确定一个弱点可以被攻击者利用,没有进一步分析。因此,水煤浆提供了一种方法来显式地记录信息不可用。
• CVSSv2得分有很大的倾向于对物理系统的影响;水煤浆有小偏差的应用程序包含的弱点。在某些情况下,用户可能会强烈倾向于分数问题根据他们的影响关键业务数据或功能,这可能影响有限的整体物理系统的影响。例如,最大可能为CVSS分数通常是7.0对甲骨文的产品,因为这些产品通常运行有限的特权。CVSSv3将消除这种偏见向系统,但是其模型仍然与水煤浆所使用的模型不同。

早期水煤浆发展寻求保持CVSS的优势同时也试图避免的一些限制有关。

出具的比较CVSSv2因素与水煤浆因素

注意,在CVSS,访问的复杂性(AC)值结合多个特征水煤浆中分裂成不同的因素,如需要特权级别和级别的交互。

CVSS	水煤浆	笔记
机密性影响(C)、完整性的影响(我),(A)可用性影响,安全需求(CR、红外光谱、AR),间接伤害潜力(CDP)	技术的影响	水煤浆尝试使用更细粒度的“技术影响”模型比机密性、完整性和可用性。业务价值上下文调整有效的编码环境的安全需求CVSS的一部分。内的CDP间接覆盖BVC之间的联系业务问题和技术的影响。
访问的复杂性(AC),目标分布(TD)	部署范围	部署范围是间接由CVSS的复杂性,将多个不同因素组合到单个项目。它也有一个间接的与目标分布(TD)。
访问向量(AV)	访问向量	价值观是相似的,但水煤浆区分物理访问和本地(shell /账户)访问。
访问复杂性(AC)	所需的特权级别	所需的特权级别是间接由CVSS的复杂性,将多个不同因素组合到单个项目。
N /一个	身份验证的力量	这不是在CVSS直接指定,但得分可能会考虑认证强度在评估复杂性(AC)的访问。
身份验证(Au)	验证实例
N /一个	发现的可能性	在许多CVSS的用例,漏洞已经被发现并披露另一方当CVSS得分。所以没有需要跟踪发现的可能性,可能是1.0(有效)。然而,在一些水煤浆用例,问题只是开发人员得分的时候,和开发人员可以选择增加的优先级问题,最有可能被发现。
N /一个	利用的可能性	这不是CVSS覆盖。
访问复杂性(AC)	交互需求
访问复杂性(AC)、补救水平(RL)	内部控制有效性(IC)	控制/移植的存在(或没有)可能影响CVSS访问的复杂性。
访问复杂性(AC)	外部控制有效性(EC)	控制/移植的存在(或没有)可能影响CVSS访问的复杂性。然而,一个单一的CVE漏洞可能有不同的CVSS分数基于特定于供应商的配置。
报告的信心(RC)	找到信心
N /一个	补救的努力(重新)
可利用性(E)	N /一个
目标分配(TD)	N /一个	没有直接连接在水煤浆1.0目标分布;没有考虑多少安装可能会使用软件。

各其他CVSS差异和水煤浆

水煤浆分数和CVSS分数不一定具有可比性。即使水煤浆分数最多(100)“规范化”的CVSS范围除以10(会产生CVSS-equivalent分数在0到10的范围内),这并不意味着水煤浆得分7相当于CVSS 7。这可能是由一些消费者需要的功能,但是由于水煤浆往往比CVSS测量完全不同的特征,得分等价可能不是可行的。此外,在实践中,CVSS分数不遵循常规的分布,通常与斜向高分;有可能是水煤浆可能有更好的分布。

一些组织试图修改CVSS为了解决的一些独特的软件安全需求分析;这些修改都在附录B中提到。

度量组在CVSS水煤浆是不同的比,通过设计。一些评论者的早期水煤浆版本建议水煤浆采用相同的度量集组所使用的CVSS——基地,时间和环境。然而,由于水煤浆分数可以计算在早期,无知的场景,许多因素在本质上是“时间”,无论哪一组在;此外,这些分数可能会进一步变化分析收益率更多信息的弱点。水煤浆支持使用价值,如“未知”或“违约”,可以在稍后的时间填写。

CVSS的一个方面,没有显式地建模在水煤浆是“部分”的概念的影响。然而,获得特权,特权层、技术的影响,和业务影响大致相当,有更多的表达能力。

责任2008水煤浆开球会议

2008年10月,举行了水煤浆的单日开始会议。几位与会者描述他们的评分方法:

Veracode报道改编自CVSS /漏洞评估发现弱点。每个问题给出权重的机密性、完整性和可用性,基于相关CWE条目。权重考虑平均可能发生严重程度。例如,一个缓冲区溢出可能允许攻击者造成崩溃,但它并不总是可利用的代码执行。

聚合的分数,Veracode几个“VERAFIED安全标志”,是基于计算安全质量分数(SQS),范围从0到100。“VerAfied”安全标志用于表明软件Veracode免费评估是“非常高”,“高”,或“介质”严重漏洞,和自由的automatically-detectable漏洞CWE / SANS或OWASP前十名。两个“保证”标志的变化包括手动评估步骤覆盖CWE / SANS的其余部分或OWASP十大不能被自动检测。

Veracode评级系统使用一个三个字母的评级系统(与等级的“a”、“B”,“C”,“D”和“F”)。第一个字母用于二进制的结果分析,自动动态分析的第二个,第三个人体试验。

Cigital描述CVSSv2对弱点的可行性研究。一些属性,如“目标分布”不符合得很好。其他属性扩展增加更多的粒度。一个多项式评分方法建议。它也被视为重要的模型之间的区别的可能性和影响。

Cenzic冰雹应用程序的风险度量提供细节(伤害)。它是一个量化得分,利用黑盒分析web应用程序。度量的目标是提供一个可伸缩的方法集中整治工作。度规分成4影响区域相关的web应用程序安全:浏览器,会话,web应用程序和服务器。这种方法的好处是,它很容易熔化。

CERT / SEI提出其评分方法C安全编码规则。FMECA度量,一个ISO标准,使用。它描述物品的严重性,可能导致脆弱的(),和修复成本。

B.2 2010 san / CWE前25名

2010 san / CWE最危险的软件错误列表试图执行定量CWE条目的优先使用组合的普遍性和重要性,成为水煤浆0.1在今年晚些时候的基础。调查方法是在受访者表现自己的普遍性和重要性41个人评价候选人的弱点,最后的分数决定。以反映不同意见和用例的受访者为广大评选名单之列,用来代替影响的重要因素。为了迫使共识,受访者被限制到4选择最高价值的重要性(“关键”)和患病率(“广泛”),虽然这种被迫的选择是不受欢迎的;它可能会被抛弃在未来版本的前25位。许多受访者使用高层汇总数据,或一个粗略的共识与组织的意见,有时覆盖多个团队或功能。很少受访者在低水平的真实世界的数据粒度使用的前25名(通常CWE的“基础”的抽象级别)。PlexLogic的评价后发现,这两个变量并不是完全独立的。这一发现使某种意义上,因为脆弱性研究社区往往关注最高的漏洞/弱点的影响。当可靠的攻击技术设计了一种特别的嗜好/脆弱,更多的研究人员能更容易找到他们,这可能导致广泛的剥削。 Consequently, this raises the relative Importance of a weakness.

2010年排名前25位的是结构化的方式来支持多个观点,可以反映出不同优先级的弱点。创建单独的重点资料源于原始的一些批评2009前25,广义的前25位不一定有用的所有观众,列表,一个定制的优先级会理想。八个重点概要文件提供了与2010年的前25位。例如,教育重点关注形象评估的弱点被视为重要的在学校或大学从教育的角度看语境。它强调CWE条目,毕业的学生应该知道,包括弱点是历史上重要的或增加的广度覆盖。单独关注形象排名完全基于他们的弱点评估的重要性,这将是有用的软件用户想要删除最严重的问题,没有考虑发生频率或资源密集型如何修复。这些ranking-oriented集中配置文件某些观众更加有用,排名前25名及其建设和管理作为一个有用的前任水煤浆和小插曲。

虽然2009年排名前25位的没有等级物品,被认为是相关的几个因素提出了观众:攻击频率,影响或后果,患病率、易于检测。其他因素包括修复成本,公共知识,和弱点发现的可能性将增加在未来。

B.3 2010 OWASP前十名

与以前的版本相比,2010年OWASP十大重点从弱点/弱点转向风险,通常导致每个OWASP十大条目覆盖多个相关弱点类型构成相同的风险。优先级的因素包括便于利用,患病率,检测能力和技术的影响。输入从贡献者请求以确定这些因素的值,但最后的决定为每一个因素是由十大编辑人员基于趋势信息几个真实的数据来源。他开发了一个度量,利用这些因素优先考虑最后的十大清单。

B.4其他模型

微软的步幅模型描述问题的欺骗身份、篡改数据、否定、信息披露、拒绝服务和海拔的特权。基于损伤潜在恐惧方案评估问题,再现性的问题,可利用性,受影响的用户,和可发现性。这些属性在水煤浆等价的因素。

水煤浆是最有效的对其利益相关者,几个方面问题的区域被认为是在设计框架和指标。

• 灵活性:水煤浆应该尽可能自动化程度和灵活,但是支持人工输入。
• 选择自动化:假设部分水煤浆分数可以自动生成。例如,一些因素可能依赖于类型的弱点得分;可能产生的部分的得分可能来源于CWE数据。另外一个例子,一个web脚本可能只能由管理员来操作,所以所有的弱点可能解释的这需要特权。
• 可伸缩性:一些使用场景可能需要成千上万的弱点的得分,如缺陷报告从一个自动化的代码扫描工具。遇到这样一个高容量时,有太多的问题需要手工分析。因此,自动评分必须支持。
• 利益相关者分析:潜在的水煤浆的利益相关者,他们的需求,和相关的用例应该分析了解他们的个人需求。这可能需要支持多种得分技术或方法。
• 可用性与完整性:相关指标必须平衡可用性和完整性。,他们不能太复杂。
• 优先级的灵活性:环境条件和业务/任务优先级应该影响分数是如何生成和解释的。

而水煤浆1.0专注于目标得分,它可以进一步用于通用的方式得分的弱点,例如开发一个缓冲区溢出等问题的相对优先级,XSS, SQL注入,独立于任何特定的软件包。

一个广义得分方法可以解释:

• 流行:多久这个软件包中至少出现一次?
• 频率:在一个软件包的这个弱点时,发生多久?(也许概括为“扩散”)
• 发现的可能性
• 利用的可能性
• 技术的影响

在前面的水煤浆0.1,公式是:

患病率x重要性

这个公式的描述指标用于2010 CWE /无排名前25位。重要性是来源于vignette-specific部分的得分技术影响CWE的条目。普遍可以获得一般信息(来自CWE内容,或从其他来源),与vignette-specific规格流行的可能性。例如,XSS或SQL注入可能发生更频繁地在网络零售环境中比在嵌入式软件。

D.1患病率评估

在前面的水煤浆version 0.1中,患病率分数为2010年前25名被重用获得原始投票数据从2010年前25名参与者。最初的1 - 4(离散值)规模扩展到使用1到10之间的值。使用现实世界流行数据时,这个人造正常化可能不是必要的。

下表总结了患病率分数的排名前25位的条目。注意XSS的高患病率值;这反映了这样一个事实:几乎所有的投票成员得分XSS“广泛”。完整的细节可以在一个单独的页面。

排名前25位的排名	CWE	的名字	患病率(1 - 10)
[1]	cwe - 79	XSS	9.46
[2]	cwe - 89	SQL注入	7.43
[3]	cwe - 120	经典的缓冲区溢出	6.04
[4]	cwe - 352	跨站点请求伪造	7.75
[16]	cwe - 209	通过一个错误消息公开的信息	7.11

多年来,软件消费者想要明确的指导一个软件包的安全程度,但是唯一可用的方法专利,粗糙,或者间接的,如:

• 原油的方法,如计算数量和/或公开报道漏洞的严重性
• 专有的顾问或工具开发人员开发的方法
• 间接方法,比如攻击表面度规,这可能有很强的协会与总体软件安全,虽然不一定被经验证实。

一个软件包可以评估的数量和重要性已发现的缺陷,无论是自动或手工技术。结果从这些个人弱点可以聚合发展一个分数,暂时称为“软弱面。”This could move the software assurance community one step closer to consumer-friendly software security indicators such as the软件成分标签概念,最初提出的杰夫·威廉姆斯(安全方面)和保罗·黑(NIST)。

当有一系列有针对性的弱点一个软件包,有几个可能的聚合评分方法,包括但不限于:

• 计算个人弱点得分的总和
• 选择所有个人弱点的最高分数
• 选择一个子集的个人弱点分数超过规定的最小值,并把分数加起来
• 计算的总和个人弱点分数,然后根据代码规范化这些分数或其他指标反映代码大小,即。缺陷密度。”
• 标准化结果在每一个可执行的基础上。
• 结果正常化一点规模介于0(不保证)和100(高保证)。

早期水煤浆的实现通常聚合基于分数的总和,或通过选择的最高分数。

一些方法从2008年水煤浆开球车间可能适应或适用;看到附录B。此外,一些SCAP用户已经开始为主机系统创建聚合指标通过聚合CVSS分数为个人CVE漏洞检测到主机。这些用户可能有一些有用的指导水煤浆的总得分。

日期	文档版本	笔记
2014年9月5日	1.0.1	改变了4.2的例子(“有限的业务临界Wiki”)向量权重使用1.0而不是1,consistenc的4.1的例子。来源:外部因素。 改变了4.2的例子(“有限的业务临界Wiki”)矢量值”:L”“: W”和“AV: N”“AV:我”。的例子是使用值0.8但改变(即有效。1.0,过时)。来源:外部因素。 改变了4.2的例子(“有限的业务临界Wiki”)包括表清单矢量值。 添加描述患病率(P)表中的默认值。
2014年7月17日,	1.0	删除(AI)验证实例。CVSSv3团队发现,在这个因素,多个值”很少,如果有的话,用“在CVSSv2几个真实的实现,和CVSSv3 CVSS团体将删除这个因素。此外,在CVSSv2,有时用户混淆这个因素和访问向量的“本地”价值,可能导致不一致的值来选择。 切除修复(重新)。这个因素并不直接导致固有风险或严重的一个弱点,水煤浆得分的范围之外。补救工作可以更好地使用独立的进程的上下文中处理补救计划。例如,bug数据库和外部维修/发布过程可能更适合记录这些信息。 改变处理去除AuthenticationInstances和RemediationEffort计分公式。在攻击“表面”的得分,LevelOfInteraction的乘数是调整从10到15。在“环境”的得分,乘数LikelihoodOfExploit从3增加到4,这反映了当前的趋势在脆弱性管理,强调利用的可能性比原始CVSS分数。 修改后的介绍。 阐明了水煤浆和CVSS之间的区别。 创建新图像度量组织和得分,被忽略因素为1.0。 提高显示表、公式等。 给部分数据。 获得特权(美联社)——默认重量改变了从1.0到0.5(错误)。 “Unk”代码改为“英国”无处不在。列出在每个因素中“未知”描述。 澄清和固定值/美联社的定义,艾尔,RP和RL。 水平的相互作用(在)——改变代码只使用1到2大写字母。 部署范围(SC)——改变代码只使用1到2个大写字母。
2011年6月27日	0.8	增加版本号与CWRAF同步。
2011年6月23日	0.6	重大变化的公式,以更好地反映相对优先考虑的因素。 修改访问向量(AV)包括互联网、内部网和私有网络价值观。 更名为补救成本(RC)补救工作(RE),和改变可用的值。 改变外部控制有效性(EC)体重为0.1“完成”,以反映意外删除的可能性控制如果环境变化。 修改值验证强度()和添加笔记,潜在的增强。 修改权重患病率(P)的变化范围更窄。 所有权重未知的值更改为0.5,这样信息的缺乏并不过份强调分数;额外的信息可以分数向上或向下移动,因此。 深度防护/ D值改为间接/“我”内部和外部控制的有效性,避免冲突与默认/“D”价值。 删除大多数引用小品文,记分卡技术影响,商业价值的背景下,等等——现在CWRAF覆盖。 跳过0.5版本,以反映成熟度和与其他工作。
2011年4月26日	0.4	删除内容,成为共同的弱点的一部分风险分析框架(CWRAF)。 重组指标组。 定义新的因素——业务影响,获得特权,获得特权层。 定义一个新的公式。 添加“默认”值,每一个因素。
2011年3月7日,	0.3	创建概述图像和缩短了介绍。定义技术组,增加了更多的业务领域,增加了更多的小插曲。带注释的每个因素,可以量化。利益相关者部分更新。集成CVSS描述成一个单一的部分。添加更多的细节在计分法,包括水煤浆向量。
2011年2月11日	0.2	添加业务领域、原型和商业价值背景;确定详细的因素;强调使用水煤浆有针对性的得分;重组部分;基于社区的反馈做其他修改。
2010年12月2日	0.1	初始版本的审查有限的观众