Il Common Vulnerability Scoring System (CVSS) è framework aperto per comunicare le caratteristiche e l’impatto di vulnerabilità di sicurezza. Il suo modello quantitativo assicura una misurazione precisa e ripetibile, mentre gli utenti possono vedere le metriche che sono stati utilizzati per generare i punteggi di vulnerabilità.
CVSS ben si adatta ad essere adottato come sistema di misura standard per le industrie, organizzazioni e governi che hanno bisogno di punteggi precisi e coerenti sull’impatto di una vulnerabilità.

CVSS può essere utilizzato per pianificare le attività di correzione di vulnerabilità e nel calcolo della gravità della vulnerabilità scoperte sui propri sistemi.

CVSS è composto di tre gruppi di metriche: Base, Temporale e Ambientale, ciascuna composta da un insieme di parametri.

Il gruppo di metriche di base rappresenta le caratteristiche intrinseche di una vulnerabilità che sono costanti nel tempo. Si suddivide in due sottogruppi: metriche di sfruttabilità e le metriche di impatto.

Il gruppo di metriche temporali descrive le caratteristiche di una vulnerabilità che possono cambiare nel tempo, ma non in base all’ambiente dell’utente. Ad esempio, la presenza di un  kit facilmente utilizzabile aumenterebbe il punteggio CVSS, mentre la creazione di una patch ufficiale lo abbasserebbe.

Il gruppo di metriche ambientali rappresenta le caratteristiche di una vulnerabilità che sono rilevanti per l’ambiente di un particolare utente. Queste metriche consentono all’analista di valutare la presenza di elementi nel proprio ambiente operativo, che possono modificare le conseguenze della vulnerabilità.