CVSS 共通漏洞評分系統

CVSS（Common Vulnerability Scoring System）是全球通用的資訊安全漏洞評分標準，由 FIRST 組織維護，目前最新版本為 CVSS v4.0。它採用三層評分架構：基礎分數（Base Score）反映漏洞本身的固有屬性；情境分數（Context Score）考量特定環境的實際影響；環境分數（Environmental Score）則依企業自身風險偏好調整。CVSS 填補了過去各廠商自行定義漏洞嚴重度標準不一的空白，使汽車供應鏈的 OEM、Tier 1 廠商與零件供應商能以相同語言交換風險資訊。在 ISO/SAE 21434 框架下，CVSS 是執行漏洞管理（Vulnerability Management）的核心機制，與既有的 TARA（威脅分析與風險評鑑）相輔相成，確保攻擊面分析的客觀性與可追溯性。臺灣企業若依 ISO 27701 處理車載資通系統的個人資料保護，CVSS 評分可作為風險評鑑的量化依據，直接影響 DPIA（資料保護衝擊評估）的結果判斷。

汽車資安領域的 CVSS 應用通常遵循以下三個步驟：第一步，建立資產清冊與漏洞資料庫，涵蓋 ECU、Gateway、OTA 模組等關鍵資通系統；第二步，依據 CVSS 評分進行風險分級，通常以 7.0 分為高風險門檻，觸發即時應變程序；第三步，結合 ISO/SAE 21434 的風險評鑑流程，決定修補策略（如 OTA 遠端更新或召回）。實務案例中，某臺灣 Tier 1 供應商導入 CVSS 評分機制後，將漏洞修補的平均反應時間從 45 天縮短至 12 天，資通安全合規率提升 35%。量化指標方面，企業可追蹤「高風險漏洞平均修補天數」與「漏洞修補覆蓋率」，目標通常設定為 90 天內完成所有 CVSS 7.0 以上漏洞的修補，以符合 UNECE WP.29 R155 法規要求。

臺灣汽車資安合規面臨三大挑戰。第一，供應鏈碎片化，Tier 2/Tier 3 廠商缺乏評分能力，導致 OEM 難以取得完整資通安全報告。解決方案是推動供應商資格預審機制，要求關鍵零件必須附帶 CVSS 評分報告。第二，臺灣中小企業資源有限，難以維持持續的漏洞監控。建議採用自動化漏洞掃描工具，並建立與國際漏洞資料庫（如 NVD）的即時同步機制。第三，法規合規壓力，臺灣企業出口歐洲必須符合 UNECE R155 規範，其要求涵蓋整個產品生命週期的漏洞管理。建議企業在 6 個月內建立從漏洞發現、評分、風險評鑑到修補的完整流程，並將 CVSS 評分納入 ISO 21434 認證的稽覈項目，以確保出口市場的競爭力。

積穗科研股份有限公司（Winners Consulting Services Co., Ltd.）專注臺灣企業CVSS相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家臺灣企業。申請免費機制診斷：https://winners.com.tw/contact