Zoom 开源新的漏洞影响评分系统 VISS

Zoom漏洞影响评分系统（简称 VISS）旨在帮助组织根据一种新的漏洞评分方法来执行安全措施，该方法优先考虑实际影响，而不是理论上的安全影响可能性。

VISS是在过去一年中开发出来的，并且最近开源。它与通用漏洞评分系统（CVSS）的不同之处在于，它不关注最坏情况，而是试图从防御者的角度更客观地衡量漏洞的影响。为此，VISS 提供了一个基于Web的UI来根据多个参数计算漏洞分数，这些参数分为平台、基础设施和数据组。其中包括 13 个方面，如对平台的影响、受影响的租户数量、数据影响等等。

通过补偿控制指标，VISS 分数是可调整的，并为环境所有者提供了根据其个体风险配置分数的灵活性和自由度。

Zoom 将 VISS 作为其 Bug 赏金计划的一个评估工具，这对提交的报告质量产生了显著影响，从而帮助他们了解应该在哪里投入时间和精力来获得最大价值。

VISS 可以帮助你主动保护你的环境并优先处理最有可能影响组织的漏洞，而不是将宝贵的有限资源集中在不太可能具有实质性影响的漏洞上。

VISS提供了一个经过校准的默认配置，具有平滑的分数分布，其中大约 50%的报告被分类为中等严重性，而低和高严重性报告各占约 25%。默认的配置可根据用户要求进行调整。

需要注意的是，VISS 并没有取代 CVSS，而是作为其补充，提供了额外的评估视角。

原文链接：

https://www.infoq.com/news/2023/12/zoom-vulnerability-score-viss/