CISA《网络安全事件和漏洞响应手册》提到的SSVC是什么？

2021年11月16日，美国网络安全和基础设施安全局(CISA)根据行政命令EO
14028的要求发布了《网络安全事件和漏洞响应手册》。手册规定的漏洞响应过程包括识别、评估、修复、报告通知4个步骤，其中评估部分的第一句话提到“使用特定相关者漏洞分类法(Stakeholder-
specific Vulnerability
Categorization，简称SSVC)之类的方法，确定环境中是否存在漏洞，以及底层软件或硬件的重要性”。CISA为什么着重点名SSVC，它在漏洞评估方面又有哪些特点？本文将对此进行介绍和分析。

一、 SSVC基本理念

1、 CVSS不足之处

通用安全漏洞评分系统(CVSS)是目前使用最为广泛的漏洞严重程度评估标准，漏洞的CVSS分值通常与CVE编号一起由美国国家漏洞库(NVD)发布。但CVSS存在一些不足：

(1) CVSS仅把技术严重度作为基本原则，而将时间和环境作为可选因素，三者都应该是评价漏洞的主要因素；

(2) 目前缺少通过CVSS分值指导决策的相关方法，并且由于度量的不确定性和指标的设计，从数值到定性的转换较为复杂；

(3) CVSS评分算法的参数不透明，相关工作组也没有证明公式的使用， 因此高CVSS分值并不代表漏洞将被普遍利用或具有公开的利用方法；

(4) CVSS基本分值是静态的，不随时间的推移而变化；

(5) 研究表明， 分析者对CVSS V3评分元素的解释并不一致。

2、 SSVC目标及总括

对组织和分析者来说，给定有限的资源，哪些漏洞应该被处理，哪些漏洞当前可以忽略，是需要解决的问题，而基于CVSS并不一定能够有效的实现。

正是考虑到这些，卡耐基梅隆大学软件工程研究所在设计新的漏洞评估体系SSVC之初就明确了目标：
输出是定性的决策，而非定量的计算，输入也是定性的；可对有限数量的相关者群体提出多元化建议；过程论证是透明的；结果是可解释的。

总体而言，SSVC是漏洞管理中操作的优先级排序系统，是基于决策树模型的模块化决策系统，避免一刀切的解决方案；SSVC是漏洞管理的概念性工具，对如何做出决策、决策中应包含哪些内容、如何清楚地记录和沟通决策等均有描述；SSVC面向各类漏洞管理相关者(同时也是供应链的主要参与成员)，关注存在漏洞的情况下他们的处理决策。

截止目前，SSVC已发布3个版本，分别是2019年11月的V1.0版本、2020年12月的V1.1版本，以及2021年4月的V2.0版本。

二、 SSVC具体内容

1、 SSVC定义的漏洞管理相关者

可根据团队在供应链中执行的任务，将相关者划分为提供者、部署者或协调者。

(1) 提供者
即漏洞修复方案的提供者，一般可认为是软件生产者。提供者通常会收到其产品的一个或多个版本的漏洞报告，他们需将报告信息分解为一组受该漏洞影响的产品或版本，也就是将漏洞与受影响产品进行关联，并最终为受影响产品提供修复或缓解方案。

(2) 部署者
即漏洞修复方案的部署者，一般可认为是信息系统使用者。部署者通常从提供者获得针对其部署产品的修复或缓解方案，他们必须决定是否将其部署到特定实例上。部署者漏洞管理流程的核心是数据的整理，包括产品版本部署实例清单的维护、漏洞与修复或缓解方案的对应、修复或缓解方案与产品版本的对应等。

(3) 协调者 协调者是SSVC
V2.0中新增的角色，指的是漏洞协调披露(CVD)中促进协同响应过程的个人或组织机构，包括计算机安全事件响应小组(CSIRT)、对国家负责的CSIRT(如US-
CERT)、产品安全事件响应小组(PSIRT)、安