通用漏洞評分系統

通用漏洞評分系統（CVSS）是由事故應變及安全團隊論壇（FIRST.org）維護的全球性開放標準，旨在為資訊安全漏洞提供一套標準化的嚴重性評分方法。其核心由三組指標構成：基礎指標（Base Metrics）、時間指標（Temporal Metrics）與環境指標（Environmental Metrics）。基礎指標評估漏洞本身的固有特性，如攻擊向量、複雜度與對機密性、完整性、可用性的影響，產生一個0至10分的基礎分數。時間指標則考量漏洞利用程式碼的成熟度等時變因素。環境指標允許企業根據自身特定環境（如關鍵資產的重要性）進行客製化調整。在汽車網路安全領域，ISO/SAE 21434標準要求對車輛生命週期中的網路安全風險進行管理，CVSS是執行威脅分析與風險評估（TARA）時，評估漏洞嚴重性的關鍵工具，能將技術性弱點轉化為可管理的風險指標，協助企業決定修補的優先次序。

企業應用CVSS於風險管理，通常遵循以下步驟：第一步為「整合與自動化掃描」，將CVSS評分機制整合至現有的弱點掃描工具與資產管理平台。例如，定期對車輛電子控制單元（ECU）或後端伺服器進行掃描，自動識別漏洞並取得其NIST國家漏洞資料庫（NVD）提供的CVSS基礎分數。第二步是「情境化風險評估」，由網路安全團隊根據業務衝擊分析（BIA）結果，調整環境指標分數。一個影響車輛煞車系統的漏洞（高衝擊），其環境分數會遠高於影響娛樂系統的同級漏洞，從而得到更貼近真實威脅的評分。第三步為「建立修補服務等級協議（SLA）」，根據最終CVSS分數設定修補的優先級與時限，例如，分數達9.0以上的嚴重漏洞需在72小時內完成修補。透過此流程，企業可將抽象的技術漏洞轉化為具體的風險指標，量化效益包括將嚴重漏洞的平均修復時間（MTTR）降低40%，並確保符合ISO/SAE 21434的漏洞管理要求。

台灣企業導入CVSS主要面臨三大挑戰。首先是「專業人才與資源不足」，許多企業僅依賴掃描工具提供的CVSS基礎分數，缺乏專業人員進行環境指標的情境化分析，導致風險誤判。其次是「複雜的供應鏈管理」，特別是汽車產業，ECU來自不同供應商，難以有效追蹤與協調上游廠商的漏洞修補進度。第三是「對國際標準的掌握不足」，例如不清楚如何將CVSS評分實踐於ISO/SAE 21434所要求的威脅分析與風險評估（TARA）流程中。為克服這些挑戰，建議的對策為：一、導入自動化漏洞優先級排序平台，或尋求專業顧問服務，以彌補內部技能缺口。二、在供應商合約中強制要求提供軟體物料清單（SBOM），並建立共同的漏洞通報機制。三、由上而下推動教育訓練，建立標準作業程序（SOP），將CVSS評估納入產品開發安全生命週期（Secure-SDL）。優先行動項目應是針對一項核心產品進行試點，在90天內完成完整的CVSS評估與修補流程演練。

積穗科研股份有限公司專注台灣企業Common Vulnerability Scoring System相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact