CVSS(Common Vulnerability Scoring System)

ソフトウェアの脆弱性の深刻度を評価するための標準的なスコアリングシステムです。

脆弱性の影響度を定量的に評価し、0.0 から 10.0 の範囲でスコアを付けます。

https://scrapbox.io/files/67ef076507453b9e0917281f.png

CVSSは「その脆弱性がどれくらい危険か？」を数値化

CWEは「どういう種類の脆弱性なのか？」を分類

例えば、あるSQLインジェクションの脆弱性が発見された場合：

CWEでは「これはSQLインジェクション（CWE-89）である」と分類

CVSSでは「このSQLインジェクションの深刻度は9.8（最大10.0）」と評価