国标漏洞评级计算器

易雾君
发布于 2024-03-17 / 21 阅读
0
0

国标漏洞评级计算器

前言

安全漏洞评分定级主要有国际标准 CVSS 评分系统和现行的国家标准 GB/30279-2020 ,CVSS 评分系统官方已经给出了操作便捷的在线计算器,而国内的漏洞定级没有相应的权威结构提供便捷的在线计算器,也没有对应的开源解决方案,这里我开源一个国标漏洞评级计算器,希望能够简化各位师傅漏洞定级的过程。

需求

网络安全行业安全人员在对挖掘的漏洞进行定级时多是凭借经验,往往定完级后还有些许忐忑,是否科学合理,漏洞危害等级直接影响研发人员修复漏洞的紧急程度,定级不合理很容易被挑战,无形之中增加了沟通成本。想必各位严谨的师傅在借助国标对漏洞进行定级时,在确定好各项指标后,再一一进行表格值进行映射,经过 5 轮匹配后方可得出最终的综合评级,现在,我开源了一个在线计算器,帮助简化这一过程,只需要确定好个指标值,直接得出漏洞危害等级,并且给出漏洞矢量,漏洞矢量标识了各项指标的赋值情况,让漏洞定级更加透明化。另外,还根据业内对漏洞修复的时效要求,给出了建议的修复上线日期,各位可根据自己需求调整js文件。

开源项目

该项目基于cvssjs进行的二次开发,可直接下载到静态web目录直接使用,也可快速通过docker compose拉起服务,现已开源,请自取,项目地址: https://github.com/evling2020/cnvrs 。在线示例网站可供试用: https://cnvrs.evling.tech

使用简介

这里以 CVE-2014-0160 漏洞举例,先确定各指标的赋值如下:

截屏2024-03-17 21.34.15.png

打开网页 https://cnvrs.evling.tech 。前三排为基础指标,根据如上的指标赋值选择对应按钮,完成所有指标赋值完毕后,即可得出最终结果漏洞危害级别为高危,如下图所示。

截屏2024-03-17 21.37.50.png

如需要自定制修复上线时间,可直接修改项目下 cnvrs.js 文件下形如下图地方的值,来满足内部需求。

截屏2024-03-17 21.40.31.png

结语

各位师傅有什么改进建议,可以通过微信公众号“易雾山庄”反馈给后台,优秀建议我会第一时间完成新版本上线,另外,宣传一下易雾山庄新建的论坛,有什么家庭基建的问题可以提出来,我有时间会及时解答,论坛地址:https://bbs.evling.tech


评论