推出 VISS：一種革命性的漏洞影響評分方法

為協助重塑漏洞評估和事件回應的整體環境，我們很高興地宣布全面推出我們的創新開源專案：漏洞影響評分系統（VISS）。此專案於過去一年進行開發，旨在透過我們突破性的漏洞評分方法增強安全措施，打造更安全的數位環境。VISS 提供使用者友善的網頁式 UI 和先進的演算法，優先考慮實際呈現的影響，而非理論上的安全影響可能性。

雖然通用漏洞評分系統 (CVSS) 等傳統評分系統專注於攻擊者的觀點和最壞情況，但 VISS 採取了不同的立場。它透過提供可增強事件回應能力的獨特評估系統來補足 CVSS。透過從防禦者的角度客觀衡量漏洞的影響，VISS 能以負責任地證明入侵行為做為其評估基礎，而非理論上的威脅。

自 2023 年 3 月以來，Zoom 採用這種創新的評分系統來評估我們的錯誤賞金計畫中的獎勵支付。該計劃為安全研究人員和產品使用者提供一個安全的避風港，讓他們能夠發現和揭露 Zoom 的安全漏洞，而無需擔心面臨法律手段的報復。其通常伴隨著發現者費用 (稱為賞金)，此舉措見證了提交報告的顯著轉變，標誌著不同於過去做法的重大演變。

我們認為，這種影響程度更高的發現和日益複雜的多步驟入侵的明顯趨勢，反映了研究人員如何投入更多時間來更深入地研究潛在漏洞的細微差異。

VISS 可協助您主動保護環境並優先處理最有可能影響您組織的漏洞，而非將寶貴的有限資源集中在不太可能產生實際影響的漏洞上。隨著許多公司在過去一年中裁員，這種優先順序對於幫助您了解將時間和精力集中在哪裡以獲得最大價值至關重要。

VISS 根據 13 個影響面向來分析漏洞，類別包括平台、基礎設施和資料群組。得出的數字分數 (範圍從 0 到 100) 反映了特定環境中的影響嚴重程度。使用補償控制指標，VISS 分數是可調整的，並為環境擁有者提供靈活性，可透過強大的管理入口網站，根據其個人風險狀況和容忍度自訂分數。

若要深入了解具體細節並嘗試 Zoom 的 VISS 計算器實作，請查看完整的 VISS 規格。

Zoom 贊助了 2023 年於倫敦舉行的 HackerOne H1-4420 現場駭客活動，在此活動期間，駭客提交的漏洞報告使用 CVSS 和 VISS 進行了進階錯誤評估流程。此方法證明了 VISS 的有效性，促進了資源分配的提升，並更加集中於解決關鍵 (Critical) 和高嚴重性 (High severity) 漏洞。

遷移到 VISS 後，漏洞報告的提交已從低和中嚴重性轉向高和關鍵嚴重性。研究人員正投入更多時間和精力來發展研究成果，使其超越理論，並更進一步轉向展示影響。在 2023 年 3 月至 2023 年 12 月 1 日期間，Zoom 觀察到「關鍵」報告激增 28%，「高」嚴重性報告增加 12%。值得注意的是，相較於 2023 年 3 月實施 VISS 之前的 8 個月，中等嚴重程度的提交數量顯著減少了 57%。

VISS 的使命不僅限於 Zoom，它旨在協助增強全球事件回應和安全團隊。透過為業界提供全面、客觀的漏洞影響衡量標準，VISS 致力於為每個人持續追求安全的網路。
我們邀請您探索 VISS，為其發展做出貢獻，並與我們共同徹底改變漏洞影響評分。讓我們共同建構更安全的數位未來。查看開源儲存庫：https://github.com/zoom/viss。

原始碼受 GPL 3.0 授權的約束。