揭秘 VISS：革命性的漏洞影响评分方法

为了帮助重塑漏洞评估和事件响应领域的格局，我们高兴地宣布，我们的创新开源项目漏洞影响评分系统（Vulnerability Impact Scoring System，简称 VISS）已全面投入使用。该项目在过去一年中开发，旨在通过我们开创性的漏洞评分方法强化安全措施，从而创造更安全的数字格局。VISS 具有用户友好、基于 Web 的用户界面，并提供先进的算法，这些算法优先考虑实际展示的影响，而非在理论上对安全产生影响的可能性。

传统的评分系统，如公共漏洞评分系统 (CVSS)，主要关注攻击者的视角和最坏的情况，而 VISS 采取了不同的立场。它提供了独特的评估系统，可增强事件响应能力，与 CVSS 相辅相成。通过从防御者的视角客观衡量漏洞的影响，并基于负责任展示的漏洞利用情况（而不是理论上的威胁），VISS 可以对漏洞做出评估。

Zoom 从 2023 年 3 月开始采用这种创新的评分系统评估我们 Bug 报告奖励计划中的奖励支付案例。该计划为安全研究人员和产品用户提供了一个安全避风港，使他们可以在不必担心法律追责的前提下，发现安全漏洞并披露给 Zoom。这种举措通常会附带向发现者提供酬金（被称为奖励）。我们可以看到，向它提交的报告存在明显转变，标志着与过往实践相比，出现了显著进步。

随着发现的漏洞影响越来越大，多步骤利用漏洞的方式越来越复杂，我们相信，这种明显的趋势反映出，研究人员正在投入更多时间深入研究潜在漏洞的细微之处。

VISS 可以帮助您主动保护环境，并让您优先处理最有可能对组织造成影响的漏洞，而不是将宝贵的有限资源集中在不太可能产生实际影响的漏洞上。在过去一年里，许多公司都在减少人员编制，因此，这种确定优先次序的方式至关重要，它将帮助您了解应在哪些方面集中时间和精力，以实现最大价值。

VISS 基于 13 个影响方面对漏洞进行分析，这些方面可分为平台组、基础设施组和数据组。由此得出的数字分数（从 0 到 100）反映了特定环境中影响的严重程度。通过使用补偿控制指标，可以对 VISS 分数进行调整，而环境所有者可以通过一个强大的管理门户，根据个人风险概况和承受能力灵活地调整分数。

要深入了解详情，并试用由 Zoom 实现的 VISS 计算器，请查看完整的 VISS 规范。

Zoom 赞助了 2023 年在伦敦举办的 HackerOne H1-4420 现场黑客活动，这次活动分别使用 CVSS 和 VISS 对黑客提交的漏洞报告执行高级 Bug 评估。结果证明了 VISS 的有效性，这种方法有助于改进资源的分配，提高人们对处理关键和高危漏洞的关注度。

转到 VISS 后，提交的漏洞报告已从“低危”和“中危”严重级别转向了“高危”和“关键”严重级别。研究人员正在投入更多时间和精力，改进漏洞的利用手段，这些手段将超越理论范畴，展示出实际影响。Zoom 观察到，2023 年 3 月至 2023 年 12 月 1 日，严重级别为“关键”的报告大幅增加了 28%，而严重级别为“高危”的报告增加了 12%。值得注意的是，与 2023 年 3 月实施 VISS 之前的 8 个月相比，提交的“中危”级别报告大幅减少了 57%。

VISS 的使命不仅仅是帮助 Zoom，它更是以帮助全球事件响应和安全团队增强能力为目标。通过向行业提供全面且客观的漏洞影响衡量标准，VISS 为“让每个人都能享有安全的互联网”这一目标做出了贡献。我们诚邀您探索 VISS，为其发展献计献策，并与我们一起改进对漏洞影响进行评分的方式。让我们共建更安全的数字未来。请查看开源存储库：https://github.com/zoom/viss。

这些源代码受 GPL 3.0 许可证约束。