कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम

कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम (सीवीएसएस) कंप्यूटर सिक्योरिटी वल्नेरेबिलिटी (कंप्यूटिंग) की गंभीरता का आकलन करने के लिए फ्री और ओपन इंडस्ट्री स्टैण्डर्ड है। सीवीएसएस वल्नेरेबिलिटी के लिए सेवरिटी स्कोर निर्दिष्ट करने का प्रयास करता है, जिससे रेस्पॉन्डर्स को थ्रेट के अनुसार रेस्पॉन्सेस और रिसोर्सेज को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई सॉफ्टवेयर मीट्रिक पर निर्भर करता है जो किसी एक्सप्लॉइट की सरलता और इम्पैक्ट का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे सीरियस होता है। जबकि कई लोग सेवरिटी का निर्धारण करने के लिए केवल सीवीएसएस बेस स्कोर का उपयोग करते हैं,, टेम्पोरल और एनवायर्नमेंटल स्कोर भी उपस्थित होते हैं, जो क्रमशः मिटिगेशंस की अवेलेबिलिटी और आर्गेनाईजेशन के भीतर व्यापक रूप से कितने वल्नरेबल सिस्टम्स उपस्थित हैं इसका ध्यान में रखते हैं।

सीवीएसएस (सीवीएसएसवी 3.1) का वर्तमान वर्जन जून 2019 में प्रस्तावित किया गया था।

इतिहास
2003/2004 में राष्ट्रीय अवसंरचना सलाहकार परिषद (एनआईएसी) द्वारा किए गए शोध ने फरवरी 2005 में सीवीएसएस वर्जन 1 (सीवीएसएस v1) को लॉन्च किया। सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के टारगेट के साथ हैं। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, एनआईएसी ने भविष्य के विकास के लिए सीवीएसएस का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम का चयन किया।

उत्पादन में सीवीएसएस v1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि सीवीएसएस के प्रारंभिक मसौदे के साथ सिग्नीफिकेन्ट मुद्दे थे। सीवीएसएस वर्जन 2 (सीवीएसएसवी2) पर कार्य अप्रैल 2005 में प्रारंभ हुआ और अंतिम विनिर्देश जून 2007 में प्रारंभ किया गया।

आगे की प्रतिक्रिया के परिणामस्वरूप सीवीएसएस वर्जन 3 पर कार्य प्रारंभ हुआ 2012 में, जून 2015 में निरंतर सीवीएसएसv3.0 के साथ समाप्त किया गया।

शब्दावली
सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है:

1. वल्नेरेबिलिटी के आंतरिक गुणों के लिए बेस मेट्रिक्स

2. वल्नेरेबिलिटी के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स

3. वुलनेराबिलिटीज़ के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं।

इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।

वर्जन 2
सीवीएसएसv2 के लिए संपूर्ण अधिकारपत्रीकरण फर्स्ट से उपलब्ध है। नीचे सारांश दिया गया है।

एक्सेस वेक्टर
एक्सेस वेक्टर (एवी) दिखाता है कि वल्नेरेबिलिटी का एक्सप्लोइटेशन कैसे किया जा सकता है।

एक्सेस कम्प्लेक्सिटी
एक्सेस कम्प्लेक्सिटी (एसी) मीट्रिक बताती है कि अनुसंधान गई वल्नेरेबिलिटी का लाभ उठाना कितना आसान या कठिन है।

ऑथेंटिकेशन
ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब अटैककर्स को टारगेट का लाभ उठाने के लिए उसे ऑथेंटिकेट करना होता है। इसमें (उदाहरण के लिए) एक्सेस प्राप्त करने के लिए किसी नेटवर्क का ऑथेंटिकेशन सम्मिलित नहीं है। लोकल रूप से एक्सप्लोइटेबल वुलनेराबिलिटीज़ के लिए, यह मान मात्र एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक एक्सेस के बाद और ऑथेंटिकेशन की आवश्यकता हो।

कॉन्फिडेंशियलिटी
कॉन्फिडेंशियलिटी (सी) मीट्रिक सिस्टम द्वारा संसाधित डेटा की कॉन्फिडेंशियलिटी पर इम्पैक्ट का वर्णन करता है।

इंटीग्रिटी
इंटीग्रिटी (I) मीट्रिक शोषित सिस्टम की इंटीग्रिटी पर इम्पैक्ट का वर्णन करता है।

अवेलेबिलिटी
अवेलेबिलिटी (ए) मीट्रिक टारगेट सिस्टम की अवेलेबिलिटी पर इम्पैक्ट का वर्णन करती है। अटैककर्स जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य रिसोर्स का उपभोग करते हैं, सिस्टम की अवेलेबिलिटी को अफेक्टेड करते हैं।

गणना
इन छह मेट्रिक्स का उपयोग एक्सप्लोइटेशन क्षमता की गणना करने और वल्नेरेबिलिटी के उप-स्कोर को अफेक्टेड करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।

$$ \textsf{Exploitability} = 20 \times \textsf{AccessVector}\times\textsf{AccessComplexity}\times\textsf{Authentication} $$

$$ \textsf{Impact} = 10.41 \times (1-(1-\textsf{ConfImpact}) \times (1-\textsf{IntegImpact}) \times (1-\textsf{AvailImpact})) $$

$$ f(\textsf{Impact}) = \begin{cases} 0,    & \text{if }\textsf{Impact}\text{ = 0} \\ 1.176, & \text{otherwise } \end{cases} $$

$$ \textsf{BaseScore} = \textsf{roundTo1Decimal}( ((0.6 \times \textsf{Impact}) +(0.4 \times \textsf{Exploitability})-1.5) \times f(\textsf{Impact})) $$

वल्नेरेबिलिटी के लिए सीवीएसएस वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।

उदाहरण
बफर ओवरफ्लो वल्नेरेबिलिटी वेब सर्वर सॉफ़्टवेयर को अफेक्टेड करती है जो दूरस्थ उपयोगकर्ता को सिस्टम का पार्शियल नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे शटिंग करने की क्षमता भी सम्मिलित है:

यह 9.0 का समग्र आधार स्कोर देते हुए 10 का एक्सप्लोइटेबल उप-स्कोर और 8.5 का इम्पैक्ट उप-स्कोर देगा।

इस कंडीशन में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर सामान्यतः साथ प्रस्तुत किए जाते हैं जिससे कि प्राप्तकर्ता वल्नेरेबिलिटी की प्रकृति को पूरी प्रकार से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।

टेम्पोरल मेट्रिक्स
टेम्पोरल मेट्रिक्स का मूल्य वल्नेरेबिलिटी के जीवनकाल में परिवर्तित कर जाता है, क्योंकि एक्सप्लोइटेशन विकसित, सारांश और ऑटोमेटेड होता है और जैसे ही मिटिगेशन और फिक्स उपलब्ध होते हैं।

एक्सप्लोइटाबिलिटी
एक्सप्लोइटेशन क्षमता (ई) मीट्रिक एक्सप्लोइटेशन तकनीकों या ऑटोमेटेड एक्सप्लोइटेशन कोड की वर्तमान कंडीशन का वर्णन करती है।

रेमेडिएशन लेवल

वल्नेरेबिलिटी का सुधारात्मक लेवल (आरएल) वल्नेरेबिलिटी के टेम्पररी स्कोर को लो करने की अनुमति देता है क्योंकि मिटिगेशन और ऑफिसियल फिक्स उपलब्ध कराए जाते हैं।

रिपोर्ट कॉन्फिडेंस
वल्नेरेबिलिटी की रिपोर्ट विश्वास (आरसी) वल्नेरेबिलिटी के अस्तित्व में विश्वास के लेवल को मापता है और वल्नेरेबिलिटी के तकनीकी विवरण की विश्वसनीयता को भी मापता है।

गणना
इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पूर्व से ही संबंधित वेक्टर के साथ वल्नेरेबिलिटी के लिए टेम्पररी स्कोर बनाने के लिए की जाती है।

लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:

$$ \textsf{TemporalScore} = \textsf{roundTo1Decimal}(\textsf{BaseScore} \times \textsf{Exploitability} \times \textsf{RemediationLevel} \times \textsf{ReportConfidence}) $$

उदाहरण
ऊपर दिए गए उदाहरण के साथ निरंतर रखने के लिए, यदि वेंडर को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके वल्नेरेबिलिटी के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी: यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का कम्पलीट वेक्टर) के टेम्पररी वेक्टर के साथ 7.3 का टेम्पररी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).

यदि वेंडर वल्नेरेबिलिटी की कंफर्म्ड करता है, तो ई: पी / आरएल: यू / आरसी: सी के टेम्पररी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।

वेंडर की ओर से टेम्पररी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक लो कर देगा, जबकि ऑफिसियल फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक अफेक्टेड सिस्टम को उचित कर दिया गया है पैच कर दिया गया है, टेम्पररी स्कोर वेंडर के कार्यों के आधार पर निश्चित लेवल से लो नहीं हो सकता है, और यदि वल्नेरेबिलिटी के लिए ऑटोमेटेड एक्सप्लोइटेशन विकसित किया जाता है तो यह बढ़ सकता है।

एनवायर्नमेंटल मेट्रिक्स
पर्यावरण मेट्रिक्स आधार और वर्तमान टेम्पररी स्कोर का उपयोग वल्नरेबल प्रोडक्ट या सॉफ़्टवेयर को नियुक्त करने की विधि के संदर्भ में वल्नेरेबिलिटी की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।

कोलैटरल डैमेज पोटेंशियल
कोलैटरल डैमेज पोटेंशियल (सीडीपी) मीट्रिक फिजिकल प्रॉपर्टी जैसे उपकरण (और जीवन) पर पोटेंशियल लोस या इम्पैक्ट को मापता है, यदि वल्नेरेबिलिटी का एक्सप्लोइटेशन किया जाता है तो अफेक्टेड आर्गेनाईजेशन पर फाइनेंसियल इम्पैक्ट पड़ता है।

टारगेट डिस्ट्रीब्यूशन
टारगेट डिस्ट्रीब्यूशन (टीडी) मीट्रिक पर्यावरण में वल्नरेबल प्रणालियों के अनुपात को मापता है।

इम्पैक्ट सब्सकोर मॉडिफाइयर
तीन और मेट्रिक्स कॉन्फिडेंशियलिटी (सीआर),इंटीग्रिटी (आईआर) और अवेलेबिलिटी (एआर) के लिए स्पेशलिज़्ड सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को यूजर के पर्यावरण के अनुसार किया जा सकता है।

गणना
पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पूर्व से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है।

$$ \textsf{AdjustedImpact} = \min(10,10.41 \times (1-(1-\textsf{ConfImpact} \times \textsf{ConfReq}) \times (1-\textsf{IntegImpact} \times \textsf{IntegReq}) \times (1-\textsf{AvailImpact} \times \textsf{AvailReq}))) $$

$$ \textsf{AdjustedTemporal} = \textsf{TemporalScore}\text{ recomputed with the }\textsf{BaseScore}\text{s }\textsf{Impact}\text{ sub-equation replaced with the }\textsf{AdjustedImpact}\text{ equation} $$

$$ \textsf{EnvironmentalScore} = \textsf{roundTo1Decimal}((\textsf{AdjustedTemporal}+(10-\textsf{AdjustedTemporal}) \times \textsf{CollateralDamagePotential}) \times \textsf{TargetDistribution}) $$

उदाहरण
यदि उपरोक्त वल्नरेबल वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और वेंडर से टेम्पररी फिक्स उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:

यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए अफेक्टेड बैंक के व्यवसाय के संदर्भ में सिग्नीफिकेन्ट वल्नेरेबिलिटी है।

वर्जन 2 की आलोचना

कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया।

रिस्क आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में फर्स्ट को सार्वजनिक पत्र प्रकाशित किया। लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का उदाहरण दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और रिस्क प्रोफाइल की वुलनेराबिलिटीज़ को उचित से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को वल्नेरेबिलिटी के त्रुटिहीन इम्पैक्ट के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।

ऑफिसियल सीवीएसएस विनिर्देशों में पार्शियल और कम्पलीट के मध्य विवरण में कथित अंतराल को भरने के लिए ओरेकल ने कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के लिए पार्शियल + का नया मीट्रिक मूल्य प्रस्तुत किया।

वर्जन 3
इनमें से कुछ आलोचनाओं को दूर करने के लिए, सीवीएसएस वर्जन 3 का विकास 2012 में प्रारंभ किया गया था। अंतिम विनिर्देश को सीवीएसएस v3.0 नाम दिया गया था और जून 2015 में निरंतर किया गया था। विशिष्टता अधिकारपत्र के अतिरिक्त, उपयोगकर्ता मार्ग और उदाहरण अधिकारपत्र भी निरंतर किए गए थे।

कई मेट्रिक्स परिवर्तन गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), लो (0.1-3.9), मीडियम (4.0-6.9), हाई (7.0-8.9), और सीरियस (9.0-10.0) की शाब्दिक गंभीरता रेटिंग को परिभाषित किया गया था, एनवीडी के लिए परिभाषित श्रेणियों के समान सीवीएसएस वी2 जो उस मानक का भाग नहीं थे .

बेस मेट्रिक्स
बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को वुलनेराबिलिटीज़ को भिन्न करने में सहायता करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना अनिवार्य था। पूर्व, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का भाग थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की प्रारंभिक भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन वुलनेराबिलिटीज़ का लाभ उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर अटैकएड करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही वल्नेरेबिलिटी के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।

कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी (C, I, A) मेट्रिक्स को सीवीएसएसv2 के पार्शियल, कम्पलीट के स्थान पर कोई नहीं, लो, या हाई स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह सीआईए मेट्रिक्स पर वल्नेरेबिलिटी के इम्पैक्ट को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।

एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया जिससे कि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस वल्नेरेबिलिटी का दोहराए जाने योग्य एक्सप्लोइटेशन कैसे हो सकता है; एसी हाई है यदि अटैककर्स को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अतिरिक्त, जो भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।

अटैक वेक्टर (एवी) ने उन वुलनेराबिलिटीज़ का वर्णन करने के लिए फिजिकल (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें परफॉरमेंस करने के लिए डिवाइस या सिस्टम तक फिजिकल एक्सेस की आवश्यकता होती है।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स सीवीएसएसv2 से अनिवार्य रूप से अपरिवर्तित थे।

एनवायर्नमेंटल मेट्रिक्स
सीवीएसएसv2 के पर्यावरणीय मेट्रिक्स को पूरी प्रकार से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ परिवर्तित कर दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की समानता में किसी आर्गेनाईजेशन या कंपनी के भीतर अंतर को दर्शाना है। स्पेशलिज़्ड वातावरण में कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के वैल्यू को पकड़ने के लिए नए मेट्रिक्स जोड़े गए है।

वर्जन 3 की आलोचना
सितंबर 2015 में ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में वुलनेराबिलिटीज़ को स्कोर करने में किया जाता है।

वर्जन 3.1
सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस वर्जन 3.1 का टारगेट नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस वर्जन 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में फिक्स करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में फिक्स करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में फिक्स करते हैं।

फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही वुलनेराबिलिटीज़, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक टारगेट कई भिन्न-भिन्न निर्वाचन क्षेत्रों में वल्नेरेबिलिटी की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को रिस्क, उपचार और मिटिगेशन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और रिस्क सहिष्णुता होते है।

सीवीएसएस वर्जन 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, प्रिविलेज आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को ऑफिसियल आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि कॉन्फिडेंशियलिटी, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस वर्जन 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।

एडॉप्शन
सीवीएसएस के वर्जनों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा वल्नेरेबिलिटी की सेवरिटी को मापने के लिए प्राइमरी मेथड के रूप में स्वीकार किया गया है, जिनमें लो सम्मिलित हैं:
 * नेशनल वल्नेरेबिलिटी डेटाबेस (एनवीडी)
 * ओपन सोर्स वल्नेरेबिलिटी डेटाबेस (ओएसवीडीबी)
 * सीईआरटी कोआर्डिनेशन सेण्टर, जो विशेष रूप से सीवीएसएस v2 बेस, टेम्पोरल और एनवायरनमेंटल मेट्रिक्स का उपयोग करता है।

यह भी देखें

 * कॉमन वीकनेस एनयूमेरशन (सीडब्ल्यूई)
 * कॉमन वल्नेरेबिलिटी और एक्सपोज़र्स (सीवीई)
 * कॉमन अटैक पैटर्न एनयूमेरशन और क्लासिफिकेशन (सीएपीईसी)

बाहरी संबंध

 * The Forum of Incident Response and Security Teams (FIRST) सीवीएसएस site
 * National Vulnerability Database (NVD) सीवीएसएस site
 * Common Vulnerability Scoring System v2 Calculator