NVIDIA 目前使用通用漏洞評分系統 3.1 版 (CVSS v3.1) 來評估已發現漏洞的嚴重性等級。CVSS 讓我們能透過通用的評分方法和語言傳達漏洞的特性和影響。CVSS 試圖建立一套度量基準,讓我們據以衡量漏洞帶來的安全疑慮。CVSS 模式使用基本、時間和環境等三種不同的度量或評分計算,每種計算都含有一組計量方式。完整的標準由「事件回應和安全團隊論壇」(Forum of Incident Response and Security Teams,FIRST) 負責維護。如需相關資訊,請造訪 https://www.first.org/cvss。
NVIDIA 依照 CVSS v3.1 規格文件「性質嚴重性量表」(Qualitative Severity Rating Scale,https://www.first.org/cvss/specification-document) 來定義嚴重性評等,如下表所示:
| 嚴重性影響評等 |
CVSS 評分 |
| 嚴重 |
9.0 – 10.0 |
| 高 |
7.0 – 8.9 |
| 中 |
4.0 – 6.9 |
| 低 |
0.1 – 3.9 |
| 無 |
0.0 |
倘若 CVSS 評分有其他未妥善考量到的因素,NVIDIA 保留不遵從這些指引的權利。
NVIDIA 安全性布告欄將盡可能提供 CVSS v3.1 基本評分。NVIDIA 只關注基本指標組,因為此指標組會為我們的客戶帶來最大的價值,並且能代表漏洞的內在特徵。NVIDIA 的風險評估乃基於多種安裝系統的平均風險,不一定能真實呈現您本機安裝的風險。
NVIDIA 建議您諮詢安全或 IT 專業人員來評估特定設定的風險,並鼓勵您根據網路參數計算環境評分。NVIDIA 建議所有客戶將基本評分及任何與環境相關的時間和/或環境評分納入考量,藉此評估整體風險。這裡的整體評分代表針對您的特定環境,與特定時間點上的風險評分。您應使用安全或 IT 專業人員的問題評估和此處的最終評分,以針對您的環境排列回應的優先順序。