複選題
6.工程師在評估使用「弱點評估」工 具過程中發現了「通用弱點評分系統(Common Vulnerability Scoring System，CVSS)」的網站，請問下列敘述何項錯誤？
(A) CVSS 是一個開放的框架，主要用於傳達軟體弱點的特 徵以及該弱點的風險程度
(B) CVSS 提供了一種獲取弱點主要特徵並產生回應其嚴重 性的數位分數的方法
(C) CVSS 可以將數位分數轉換為定性表示形式(例如低、 中、高以及嚴重)，來提供組織正確評估其弱點管理流程 並確定其處裡弱點的優先順序
(D) CVSS 由基本度量組(Base metric groups)、時間度量組 (Temporal metric groups)以及環境度量組 (Environmental metric groups)等三個部分所組成

選項 (A) 分析：

• 敘述：CVSS 是一個開放的框架，主要用於傳達軟體弱點的特徵以及該弱點的風險程度。

• 解釋：

  • 錯誤之處： CVSS 的主要目的是評估和傳達弱點的嚴重性（Severity），而非風險程度（Risk Level）。嚴重性評估的是弱點本身的內在特性，如攻擊複雜度、影響範圍等；風險程度則需要考慮更多因素，包括威脅可能性、資產價值和控制措施等。
  • 結論： 選項 (A) 的敘述錯誤，因為它將 CVSS 的用途錯誤地描述為評估風險程度，而不是嚴重性。

選項 (B) 分析：

• 敘述：CVSS 提供了一種獲取弱點主要特徵並產生回應其嚴重性的數位分數的方法。

• 解釋：

  • 這是正確的。CVSS 通過評估弱點的主要特徵，生成一個數值分數，反映其嚴重性，幫助組織了解弱點的潛在影響。
  • 結論： 選項 (B) 的敘述正確。

選項 (C) 分析：

• 敘述：CVSS 可以將數位分數轉換為定性表示形式（例如低、中、高以及嚴重），來提供組織正確評估其弱點管理流程並確定其處理弱點的優先順序。

• 解釋：

  • 這是正確的。CVSS 的數值分數可以映射到定性的嚴重性等級，協助組織優先處理弱點，改善弱點管理流程。
  • 結論： 選項 (C) 的敘述正確。

選項 (D) 分析：

• 敘述：CVSS 由基本度量組（Base metric groups）、時間度量組（Temporal metric groups）以及環境度量組（Environmental metric groups）等三個部分所組成。

• 解釋：

  • 不確定D的選項錯在哪裡。