نگاهی به CVSS نسخه 4.0

زمان مطالعه: 10 دقیقه

سیستم امتیازدهی Common Vulnerability Scoring System یا به اختصار CVSS ، یه روش رایج و استاندارد برای سنجش شدت آسیب پذیری های امنیتی سیستم های دیجیتال هستش. این برنامه که توسط انجمن FIRST توسعه داده شده، به متخصصان امنیتی رویکردی مشخص برای ارزیابی و اولویت‌بندی ریسکها میده.

نسخه فعلی، CVSS v3.0، بیش از یه دهه هستش که عملیاتی شده ، اما به دلیل پیچیدگی و انعطاف ناپذیری اون ، مورد انتقاد قرار گرفته . در پاسخ، FIRST نسخه CVSS v4.0 رو معرفی کرده که، امتیاز دهی ساده تر، انعطاف پذیرتر و دقیق تری رو ارائه میده. هدف این نسخه کاهش محدودیت‌های قبلی، ارائه یه نمایش واقعی‌تر از خطرات و کمک به سازمان‌ها برای اولویت‌بندی آسیب‌پذیری‌ها و تخصیص مؤثرتر منابع هستش.

نسخه اول CVSS در سال 2005 منتشر شد. این نسخه توسط اعضای CVSS Special Interest Group (SIG) از FIRST مورد ارزیابی قرار گرفت و نسخه 2 اون در ژوئن 2007 منتشر شد. نسخه سوم با اضافه کردن مفهوم دامنه در سال 2015 منتشر شد. نسخه 3.1 هم در سال 2019 فقط با ارائه شفافیت در مفاهیم برای سهولت کلی برای استفاده از استاندارد منتشر شد.

در این پست سعی کردیم نسخه جدید رو پوشش بدیم ، از این جهت که چه ویژگی هایی داره و چه تفاوتی با نسخه 3.0 داره .

 

سیستم امتیازدهی CVSS فعلی چطوری کار میکنه ؟

سیستم CVSS فعلی شامل سه گروه متریک هستش : معیارهای پایه (Base) ، زمانی (Temporal) و محیطی (Environmental) . این مؤلفه ها نقش اساسی در ارزیابی شدت آسیب پذیری و تأثیر بالقوه اون روی سازمان دارن.

 

• معیارهای پایه : معیارهای پایه به شما کمک میکنن تا نوع آسیب پذیری رو بدون توجه به عوامل زمانی یا محیطی درک کنید. اونا از دو زیر گروه تشکیل شدن:
  • معیارهای قابلیت اکسپلویت شدن: این معیارها بر سهولت استفاده مهاجم از یه آسیب‌پذیری تمرکز میکنن و عبارتند از: بردار حمله (AV)، پیچیدگی حمله (AC)، امتیازات مورد نیاز (PR)، و تعامل کاربر (UI).
  • معیارهای تاثیر: این معیارها پیامدهای بالقوه یه اکسپلویت موفق رو ارزیابی میکنن و شامل تأثیر محرمانگی (C)، تأثیر یکپارچگی (I) و تأثیر در دسترس بودن (A) هستن.
• معیارهای زمانی : این معیارها عواملی رو در نظر میگیرن که در طول زمان تغییر میکنن، مثلا وجود یه اصلاحیه یا در دسترس بودن یه اکسپلویت  و شامل توسعه کد اکسپلویت (Exploit Code Maturity یا E)، سطح اصلاح (Remediation Level یا RL) و اعتبار گزارش (Report Confidence یا RC) (منظور از این گزینه اینه که مثلا فروشنده تایید کنه که یه آسیب پذیری در محصولش هست. اینکه چقدر جزییات منتشر شده باشه، این معیار رو مشخص میکنه) هستن.
• معیارهای محیطی : این معیارها به سازمان ها اجازه میدن تا امتیازات CVSS رو بر اساس محیط خاص خود و تأثیر بالقوه بر سیستم های خودشون سفارشی کنن و شامل معیارهای پایه اصلاح شده (Modified Base) و پتانسیل خسارت تضمینی(Collateral Damage Potential یا CDP) هستن.

 

محاسبه امتیاز CVSS :

برای محاسبه امتیاز CVSS، معیارهای پایه، زمانی و محیطی با استفاده از یه فرمول خاص ترکیب میشن. نتیجه یه امتیاز عددی بین 0 تا 10 میشه که نمرات بالاتر نشون دهنده آسیب پذیری با شدت بالاست.

امتیازات CVSS بطور کلی براساس شدت به چهار گروه تقسیم میشن :

• پایین – 0 تا 3.9
• متوسط – 4 تا 6.9
• بالا – 7 تا 8.9
• بحرانی – 9 تا 10

درک سیستم امتیازدهی CVSS برای متخصصان امنیت حیاتیه، چون یه روش مشخص برای اولویت‌بندی آسیب‌پذیری‌ها و تخصیص منابع برای رسیدگی به مشکلات رو ارائه میده.

 

چهار مشکل رایج در CVSS نسخه 3.0 :

نسخه 3.0 اگرچه بصورت گسترده در حال استفاده هستش اما یسری انتقادها بهش توسط متخصصین امنیتی شده که منجر به بازبینی اون شده. از جمله این مشکلات :

• تاکید بیش از حد روی اکسپلویت آسیب پذیری : CVSS بر قابلیت اکسپلویت و تاثیر بالقوه آسیب پذیری ها تمرکز داره. این میتونه منجر به عدم تطابق بین شدت نظری یه آسیب پذیری و خطر واقعی اون در دنیای واقعی بشه. مثلا، یه آسیب‌پذیری ممکنه به دلیل تأثیر بالقوه‌اش، امتیاز CVSS بالایی رو داشته باشه، اما ممکنه بدلیل شرایط خاص، اکسپلویت اون بعید باشه. این عدم تطابق میتونه منابع رو به سمت آسیب پذیری های کمتر بحرانی هدایت کنه و زمان و تلاش ارزشمند رو بطور ناکارآمد تخصیص بده.
• نمایش ناکافی ریسک دنیای واقعی: امتیازهای CVSS اغلب فاقد دید جامعی از زمینه آسیب پذیری هستن. اونا عوامل مهمی مانند ارزش دارایی در معرض ریسک یا انگیزه ها و قابلیت های بازیگران بالقوه تهدید رو در نظر نمیگیرن. این می‌تونه منجر به تخمین کمتر/یا بیش از حد ریسک دنیای واقعی بشه و شدت و اولویت درک شده آسیب‌پذیری رو در مورد چشم‌انداز تهدید خاص سازمان ،تغییر بده.
• دامنه محدود و فقدان زمینه: نسخه فعلی سیستم امتیازدهی CVSS در دامنه محدودی عمل میکنه و در درجه اول بر آسیب‌پذیری‌های مستقل تمرکز داره. این میتونه منجر به عدم توجه به زمینه های سازمانی گسترده تر یا محیط های منحصر به فرد بشه. مثلا، CVSS معمولاً در کنترل‌های امنیتی موجود که ممکنه اقدامات کاهشی یه آسیب‌پذیری یا پتانسیل اکسپلویتهای زنجیره‌ای رو که در اون آسیب‌پذیری‌های متعدد برای نقض یه سیستم استفاده میشن، رو مشخص نکنه. این فقدان می تونه منجر به ارزیابی نادرست از شدت واقعی آسیب پذیری میشه.
• پیچیدگی و سلیقه ای بودن: محاسبه امتیازات CVSS شامل متغیرهای متعدد و پیچیده هستش. علاوه بر این، امتیازات تا حدی سلیقه ای هستن، چون به تفسیر و درک ارزیاب از تهدید و تأثیر بالقوه اون بستگی داره. این می‌تونه فرآیند امتیازدهی رو ناسازگار کنه و منجر به اختلافات احتمالی در نحوه رتبه بندی و اولویت‌بندی آسیب‌پذیری‌ها در سازمان‌های مختلف یا حتی در همون سازمان در طول زمان بشه.

 

 

معرفی CVSS نسخه 4.0 :

محدودیت های ذکر شده در بالا بر نیاز فوری برای رفع کاستی های نسخه فعلی تأکید میکنه. بنابراین نسخه، CVSS v4.0 برای رفع اونا منتشر شد. هدف این نسخه جدید اصلاح این مشکلات و ارائه چارچوب جامع‌تر، دقیق‌تر و آگاه‌تر از زمینه برای ارزیابی و اولویت‌بندی آسیب‌پذیری‌های امنیتی هستش.

توسعه CVSS v4.0 در حال انجام هستش و هدف اون رفع این نگرانی‌ها و بهبود اثربخشی کلی سیستم امتیازدهی هستش.

تغییرات و بهبودهای اصلی که در این نسخه اعمال شده عبارتند از :

• افزایش وضوح و سادگی : CVSS نسخه 4.0 از طریق راهنمایی های متریک و تعاریف واضح تر ،منجر به ارائه یه فرآیند امتیازدهی ساده تر و کاهش تاثیر سلیقه روی اون شده. این به‌روزرسانی، ارزیابی دقیق‌تر از آسیب‌پذیری‌ها رو تسهیل میکنه و ثبات رو در بین سازمان‌های مختلف ارتقا میده. کلید این کار، اصلاح مفاهیم “پیچیدگی حمله” و “نیازهای حمله” هستش که به روشن شدن روند امتیازدهی کمک می کنه.
• انعطاف‌پذیری و سازگاری بیشتر: با معرفی معیارهای دقیق‌تر و رویکرد ماژولار، نسخه جدید به سازمان‌ها اجازه میده تا سیستم امتیازدهی رو با نیازها و محیط‌های منحصربه‌فرد خودشون تنظیم کنن. این سازگاری منجر به نمایش ریسک دقیق تری از یه آسیب پذیری برای یه سازمان خاص میشه. چارچوب جدید شامل فناوری عملیاتی و معیارهای ایمنی هستش و بین تعامل فعال و غیرفعال کاربر تمایز قائل میشه و ارزیابی آسیب‌پذیری دقیق‌تری رو در زمینه‌های مختلف ممکن میسازه.
• نمایش بهبود یافته ریسک دنیای واقعی: نسخه جدید روی نمایش بهتر ریسک واقعی مرتبط با یه آسیب‌پذیری متمرکز هستش. این امر با در نظر گرفتن عناصر اضافی مانند احتمال اکسپلویت شدن و پیامدهای احتمالی حمله موفقیت آمیز بدست میاد. نسخه جدید بر ترکیب اطلاعات تهدید و معیارهای محیطی در امتیازدهی تاکید داره و ارزیابی ریسک واقع بینانه تری رو ارائه میده. این امر با گنجاندن مفاهیم جدیدی مانند «قابلیت خودکار»، «بازیابی» و «تاثیر اقدامات کاهشی» و … افزایش مییابه که به درک هر آسیب‌پذیری عمق میبخشه.

نسخه جدید یه سری تغییرات قابل توجه در چارچوب هم انجام داده از جمله اینکه معیارهای زمانی رو با معیارهای تهدید (Threat metric) جایگزین کرده و معیارهای سطح اصلاح و اعتبار گزارش رو حذف کرده. این معیارهای تهدید هم ساده هستن و هم واضح . معیارهای سطح اصلاح (RL) و معیارهای اعتبار گزارش (RC) حذف شدن و توسعه کد اکسپلویت با مقادیر مشخص به توسعه کد (Exploit Maturity یا E) تغییر نام داده.

همچنین یه گروه معیار مکمل (Supplemental Metric) جدید از ترکیب ، Base (CVSS-B) و Base + Threat (CVSS-BT) و Base + Environmental (CVSS-BE) و Base + Threat + Environmental و CVSS-BTE رو معرفی کرده. این تغییرات به همراه موارد دیگه، دقت، وضوح و کاربردی بود استاندارد رو افزایش میده.

همچنین گروه معیارهای مکمل ، ویژگی های فرعی اضافی آسیب پذیری رو مشخص میکنن که روی امتیاز نهایی CVSS-BTE تاثیری نمیزارن :

Safety (S)
Automatable (A)
Recovery (R)
Value Density (V)
Vulnerability Response Effort (RE)
Provider Urgency (U)

روش جدید همچنین تمرکز بیشتری روی OT/ICS/Safety با استفاده از ایمنی ارزیابی شده توسط مصرف کننده (MSI:S, MSA:S) و ایمنی ارزیابی شده توسط ارائه دهنده از طریق معیارهای مکمل Safety (S) داره.

علاوه بر این، CVSS نسخه 4.0 شدت و امتیاز تاثیر ارائه شده توسط فروشنده رو در چارچوب خود ادغام میکنه و طیف وسیع تری از دیدگاه ها رو در امتیازدهی آسیب پذیری در نظر میگیره. این ویژگی جامعیت سیستم رو بهبود میده و فرآیند امتیازدهی رو با سناریوهای دنیای واقعی نزدیک‌تر میکنه.

انتظار میره CVSS نسخه 4.0 بطور قابل توجهی بر متخصصان امنیتی تأثیر بذاره، چون بسیاری از انتقادات و محدودیت های نسخه فعلی رو برطرف میکنه.

با ارائه وضوح، انعطاف‌پذیری و نمایش دقیق‌تر ریسک دنیای واقعی، CVSS نسخه 4.0 سازمان‌ها رو قادر میسازه تا آسیب‌پذیری‌ها رو بهتر اولویت‌بندی کنن و منابع رو برای اصلاح بهتر تخصیص بدن.

 

تفاوتهای نسخه 3.0 و نسخه 4.0 :

بدست آوردن درک جامع از تفاوتهای بین CVSS نسخه 3.0 و نسخه 4.0 برای متخصصان امنیتی بسیار مهمه چون باعث میشه تا از پیشرفت های معرفی شده در آخرین نسخه بطور کامل آگاه و از اونا استفاده کنن.

تفاوتهای اصلی این دو نسخه :

• روش امتیازدهی : CVSS نسخه 4.0 یه روش امتیازدهی پیچیده‌تری رو ارائه میکنه که بیشتر با ریسک دنیای واقعی همسو هستش. با در نظر گرفتن مجموعه گسترده‌تری از عوامل، از جمله احتمال اکسپلویت و تأثیر بالقوه یک حمله موفقیت‌آمیز، CVSS v4.0 قصد داره ارزیابی جامع‌تر و دقیق‌تری از آسیب‌پذیری‌ها رو  ارائه بده. نسخه جدید بیشتر بر اصلاح  قابلیت اکسپلویت متمرکزه و در نتیجه چشم‌انداز ریسک متعادل‌تری رو  ایجاد میکنه. برای تست میتونید از این ماشین حساب استفاده کنید.
• تغییرات در گروه های متریک و تعاریف و معرفی مفاهیم جدید: CVSS نسخه 4.0 بروزرسانی‌هایی رو برای گروه‌های متریک و تعاریف معرفی میکنه و راهنمایی واضح‌تری رو تضمین میکنه و سلیقه رو کاهش میده. برای مثال، زیرگروه‌های متریک اکسپلویت و تأثیر در معیارهای پایه برای ارائه ارزیابی دقیق‌تری از ویژگی‌های آسیب‌پذیری اصلاح شدن. علاوه بر این، CVSS نسخه 4.0 معیارهای جدیدی رو معرفی میکنه که جنبه‌های اضافی ریسک، مانند پیامدهای بالقوه یک حمله موفق، از جمله ارزیابی صریح تأثیر بر سیستم آسیب‌پذیر (VC, VI, VA) و سیستم‌های بعدی (SC, SI, SA) رو ارائه میکنه.به عنوان مثال، گروه معیارهای زمانی رو با گروه معیارهای تهدید جایگزین میکنه، معیارهای سطح اصلاح و اعتبار گزارش رو حذف میکنه و گروه متریک مکمل جدید رو اضافه میکنه.
• چگونگی اصلاح محدودیتهای نسخه 3.0 توسط نسخه 4.0 : CVSS نسخه 4.0 بطور مستقیم با ارائه وضوح، انعطاف پذیری و سازگاری بیشتر، بسیاری از کاستی های نسخه قبلی خودش رو برطرف میکنه. سیستم امتیازدهی جدید، زمینه سازمانی گسترده تر و محیط خاصی رو که در اون آسیب پذیری وجود داره، رو در نظر میگیره. CVSS v4.0 با در نظر گرفتن خطرات دنیای واقعی به طور موثرتر، اولویت بندی دقیق تری از آسیب پذیری ها و تخصیص کارآمد منابع برای اصلاح اون رو امکان پذیر میکنه.
• ادغام اطلاعات تهدید و ملاحظات محیطی: با تاکید بر اهمیت زمینه، CVSS نسخه 4.0 گنجاندن اطلاعات تهدید و معیارهای محیطی در امتیازدهی آسیب‌پذیری رو الزامی میکنه، چیزی که در نسخه 3.0 وجود نداشت. به این ترتیب، کاربران میتونن ریسک رو مطابق با محیط تهدید خاص سازمان خودشون درک کنن. معرفی معیارهایی برای فناوری عملیاتی و ایمنی و تمایز بین تعامل فعال و غیرفعال کاربر ، به ارزیابی دقیق‌تر و واقعی‌تر آسیب‌پذیری‌ها کمک میکنه.
• تطبیق امتیازدهی شدت و تاثیر ارائه شده توسط فروشنده:  CVSS نسخه 4.0 ، امتیازهای شدت و تأثیر ارائه شده توسط فروشنده رو ترکیب میکنه. با درک ارزش دیدگاه های مختلف، این ویژگی فرآیند امتیازدهی رو غنی میکنه و درک جامع تری از آسیب پذیری ها رو تضمین میکنه. این استاندارد همچنین فروشندگان رو قادر می‌سازه تا بینش منحصربه‌فردی در مورد ریسک محصولات یا خدمات خودشون ارائه بدن. این فراگیری ، رویکرد جامع‌تر و عملی‌تری رو برای امتیازدهی آسیب‌پذیری تضمین میکنه.

 

گزینه های جایگزین سیستم CVSS :

اگرچه CVSS یه سیستم امتیازدهی هستش که بطور گسترده استفاده میشه، اما گزینه های دیگه ممکنه بهتر، با نیازهای سازمان مطابقت داشته باشه. در ادامه یسری سیستم دیگه رو معرفی میکنیم.

• سیستم امتیاز دهی EPSS یا Exploit Prediction Scoring System : سیستم EPSS که بر اساس الگوریتم های یادگیری ماشین ساخته شده ، احتمال اکسپلویت از یه آسیب پذیری رو در طبیعت پیش بینی میکنه. فاکتورهای گسترده‌تری مانند ویژگی‌های آسیب‌پذیری خاص، رفتار عامل تهدید و داده‌های اکسپلویت براساس زمان رو در نظر میگیره که امکان ارزیابی ریسک جامع‌تری رو فراهم میکنه. چندین مزیت EPSS اونو تبدیل به یه رقیب جدی برای CVSS کرده. به دلیل تأکید بر احتمال اکسپلویت شدن، تصویر دقیق تری از ریسک دنیای واقعی ارائه میده. ظرفیت اون برای اولویت‌بندی آسیب‌پذیری‌ها بر اساس تأثیر بالقوه اونا روی محیط منحصربه‌فرد سازمان، سازمان‌ها رو قادر میسازه تا منابع خودشون رو به طور مؤثر بهینه کنن و آسیب‌پذیری‌هایی رو که بیشترین پتانسیل برای تأثیرات نامطلوب دارن رو برطرف کنن.
• مدل DREAD مایکروسافت : مدل DREAD یک روش ارزیابی ریسکه که برای تعیین کمیت، مقایسه و اولویت بندی خطرات آسیب پذیری های امنیتی شناسایی شده، استفاده میشه. این مدل که مخفف عبارت Damage potential, Reproducibility, Exploitability, Affected users, and Discoverability isja، هستش ، با بررسی موارد زیر به سازمان ها کمک میکنه تا روی مهم ترین خطرات تمرکز کنن:
  • پتانسیل آسیب (D) : حداکثر آسیبی رو که در صورت اکسپلویت شدن یه آسیب پذیری میشه ایجاد کرد رو در نظر میگیره. این موضوع ضرر مالی احتمالی، آسیب به اعتبار یا از دست دادن داده‌ها رو در نظر می‌گیره.
  • بازتولید (R) : ارزیابی میکنه که بازتولید اکسپلویت برای مهاجم چقدر آسون هستش. اگر آسیب پذیری به راحتی قابل بازتولید باشه، احتمال اکسپلویت اون بیشتره که ریسک کلی رو افزایش میده.
  • قابلیت اکسپلویت (E) : ارزیابی میکنه که اکسپلویت آسیب پذیری، برای مهاجم چقدر ساده هستش. این میتوانه بستگی به نیاز دانش فنی، ابزار یا شرایط تخصصی برای یه اکسپلویت موفق داشته باشه.
  • تاثیر روی کاربر (A) : میزان کاربرانی که تحت این آسیب پدیری هستن رو مشخص میکنه. تعداد بیشتری از کاربران آسیب دیده معمولاً با سطح بالاتری از خطر مطابقت داره.
  • قابلیت کشف (D) : این معیار مشخص میکنه که شناسایی آسیب‌پذیری برای مهاجم چقدر آسونه. برخی از آسیب‌پذیری‌ها ممکنه مخفی باشن یا نیاز به دانش عمیق داشته باشن، در حالی که برخی دیگر ممکنه آشکارتر باشن.
• متدولوژی رتبه بندی ریسک OWASP : پروژه Open Web Application Security Project (OWASP) یه روش رتبه بندی ریسک ارائه میده که بر امنیت برنامه های وب تأکید داره. این به سازمان ها کمک میکنه تا خطرات امنیتی در برنامه های وب رو شناسایی، ارزیابی و اولویت بندی کنن. این روش، عوامل تهدید، عوامل آسیب پذیری، معیارهای تاثیر و احتمال حمله رو در نظر میگیره. رویکرد OWASP بسیار قابل تنظیمه و به سازمان ها اجازه میده تا عوامل رو با توجه به محیط عملیاتی خاص خودشون و تحمل ریسک تنظیم کنن.
• سیستم امتیازدهی CMSS یا Common Misuse Scoring System : سیستم CMSS که توسط NIST توسعه داده شده و روی سوء استفاده از آسیب پذیری های نرم افزاری تمرکز داره. برخلاف سایر مدل‌ها، با در نظر گرفتن شرایط عملیاتی که بر یک مورد سوء استفاده تأثیر میذاره، مانند سطح دسترسی مورد نیاز و تأثیر بالقوه بر عملیات و دارایی‌های سازمان، تحلیل جامع‌تری ارائه میده. این امر CMSS رو به ابزاری ارزشمند برای سازمان‌هایی تبدیل میکنه که میخوان با در نظر گرفتن آسیب‌پذیری‌ها و نحوه سوء استفاده از اونها ، دید وسیع‌تری از وضعیت امنیتی خود داشته باشن.
• سیستم MITRE ATT&CK :  اگرچه که CVSS معیاری استاندارد برای ارزیابی شدت آسیب‌پذیری ارائه میده، چارچوب MITER ATT&CK نمای دقیقی از تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) ارائه میده که بازیگران تهدید برای اکسپلویت از این آسیب‌پذیری‌ها استفاده میکنن. با ادغام امتیازات CVSS با چارچوب ATT&CK، متخصصان امنیتی می تونن درک جامع تری از آسیب پذیری ها و مسیرهای حمله بالقوه ای که می تونن برای اکسپلویت از اونهااستفاده بشه، بدست بیارن. این یکپارچه‌سازی می‌تونه به شناسایی آسیب‌پذیری‌هایی که احتمالاً بر اساس رفتارهای مشاهده‌شده بازیگران تهدید مورد اکسپلویت قرار می‌گیرن منجر بشه و بر این اساس اصلاح رو اولویت‌بندی کنه. علاوه بر این، زمینه ارزشمندی رو برای اطلاع از اقدامات امنیتی پیشگیرانه، مانند شکار تهدید و برنامه‌ریزی واکنش به حادثه، بهبود وضعیت کلی امنیت سایبری سازمان رو هم فراهم میکنه.

 

انتخاب یه سیستم امتیاز دهی :

هر یک از این سیستم های امتیازدهی ، دارای یسری مزایا و موارد استفاده منحصر به فرد خودشون هستن. هدف یافتن یه سیستم امتیازدهی با مرتبط ترین و کاربردی ترین بینش ها برای مدیریت موثر آسیب پذیری هستش.

کارشناسان امنیتی باید عوامل مختلفی رو هنگام انتخاب یه سیستم امتیازدهی در نظر بگیرن. این شامل توانایی سیستم برای انعکاس دقیق ریسک دنیای واقعی، سازگاری اون با زمینه خاص سازمان، وضوح روش اون، و سازگاری اون با گردش کار عملیاتی و ابزارهای موجود هستش. انتخاب یه سیستم امتیازدهی باید با وضعیت ریسک سازمان، استراتژی امنیت سایبری و اهداف کلی کسب و کار همسو باشه و اطمینان حاصل کنه که سیستم بعنوان ابزاری عمل میکنه که، مدیریت آسیب پذیری موثر رو، بهبود میده .

 

ارزیابی نسخه 4.0 :

بیش از 900 شرکت و سازمان پیشرو در صنعت دارن این نسخه رو قبل از اینکه عمومی بشه تست میکنن.

این نسخه از 8 ژوئن تا 31 جولای/9 مرداد بصورت پیش نمایش ارائه میشه. تا 31 آگوست/9 شهریور قراره همه انتقادات و پیشنهادت رو دریافت کنن که شما هم میتونید در این امر موثر باشید و در نهایت 1 اکتبر/9 مهر بصورت رسمی معرفی و استفاده میشه.

 

 

منبع