共通脆弱性評価システム (CVSS) は、ソフトウェアの脆弱性の特性と重要度を説明するための標準の測定システムです。すべての脆弱性に 0.0(リスクなし)~ 10.0(最大リスク)のリスク スコアが割り当てられます。
注: ワークロードはさまざまな基準で評価されるため、コンテナ イメージの脆弱性に対するリスク評価と、ワークロードのリスクの重要度は異なります。Kubernetes ワークロードのリスク スコアの詳細については、
Kubernetes リスクの重要度スコアリングを参照してください。
CVSS は、次の 3 つの測定基準グループで構成されます。
- [基本]: 長い時間ユーザー環境全体で一定である脆弱性の特性。
- [一時的]: 時間の経過とともに変化する可能性はあるが、ユーザー環境には広がらない脆弱性の特性。
- [環境]: 特定のユーザー環境に関連する、固有の脆弱性の特性。
詳細については、共通脆弱性評価システム SIG(外部リンク)を参照してください。
リスク スコアの範囲と重要度は次のように定義されています。
| 評価 | スコア |
|---|---|
| なし | 0.0 |
| 低 | 0.1 ~ 3.9 |
| 中 | 4.0 ~ 6.9 |
| 高 | 7.0 ~ 8.9 |
| クリティカル | 9.0 ~ 10.0 |
注: 脅威ベクトルがまだ分かっていない脆弱性は、
[不明] の重要度にグループ化されます。これは、システムが特定のアーティファクトを脆弱性として識別できたが、脆弱性に CVE が付加されていない可能性があることを意味します。不明の重要度は、0 ~ 10 の範囲である可能性があります。
