能CVSS漏洞评分系统Prisma Cloud修改自CVSSv3.x 到CVSSv2.x？

• 能CVSS漏洞评分系统Prisma Cloud修改自CVSSv3.x 到CVSSv2.x？

• Prisma Cloud 计算

• 软件，hardware和固件漏洞对任何运行计算机网络的组织构成严重风险，并且可能难以分类和缓解。
• 通用漏洞评分系统（CVSS ) 提供了一种方法来捕获漏洞的主要特征，并生成反映其严重性的数字分数，以及该分数的文本表示。
• 然后可以将数字分数转换为定性表示（例如低、中、高和严重），以帮助组织正确评估其漏洞管理流程并确定其优先级：CVSS
• CVSS v2.x 要求用户对漏洞的确切影响有太多详细的了解。
• 此外，还有关于几个指标的投诉CVSSv2.x 不足以区分不同类型的漏洞。
• 克服缺点CVSSv2.x,CVSS v3.0 在评分系统中引入了一些变化，更准确地反映了在野外遇到的漏洞的现实：CVSS 3.0 评分系统

• 牢记上述安全方面，Prisma Cloud利用的CVSSv3.0计分系统，不可更改或修改。
• 除此之外，在某些情况下，OS供应商的CVSS评分和严重性评级可能不同于NVD的评级。
• 这是基于供应商对影响的分析CVE具体到他们的OS和发行版，这是对漏洞更准确的看法。
• Prisma Cloud 在报告运行供应商的工作负载的结果时显示供应商的评级OS，然后回到NVD适用的评级。

例子

CVE-2021-21692

• 这有一个CVSSv3.x 得分为 9.8，被评为“严重”NVD :CVE-2021 -21692
• 相同CVE在下面CVSSv2.x 版本的基本分数为 7.5，评级为“高”。
• 通过供应商分析，这CVE被评为“SECURITY-2455 ：关键”，因此Prisma Cloud根据供应商的评级并将其报告为“严重”： Jenkins 安全公告 2021-11-04

CVE-2021-33574

• 这有一个CVSSv3.0 得分为 9.8，被评为“严重”NVD :CVE-2021 -33574
• 相同CVE被 Ubuntu 评为“低”，被不同的公司评为“中”CVSS来自Redhat的分数。
• 对于运行 Ubuntu 的工作负载，Prisma Cloud报告 Ubuntu 的评级，而不是NVD的评级。