Merge branch 'task/vulnerability-updates' into 'release/2026.11.0'

[2026.11.0] Обновил доку по апдейтам уязвимостей

See merge request CodeScoring/docs!629

Author: amaksimovv

docs/assets/img/vuln-additional-en.png

@@ -116,6 +116,19 @@ Next, the conditions for triggering the policy are configured; the following par
 - **CVSS3 Confidentiality (C)** — degree of loss of data confidentiality;
 - **CVSS3 Integrity (I)** — degree of loss of data integrity;
 - **CVSS3 Availability (A)** — degree of loss of data availability;
+- **CVSS4 Score** — numerical CVSS 4 threat assessment;
+- **CVSS4 Severity** — threat level according to the CVSS 4 standard;
+- **CVSS4 Attack Vector (AV)** — attack vector;
+- **CVSS4 Attack Complexity (AC)** — attack complexity;
+- **CVSS4 Attack Requirements (AT)** — whether any attack prerequisites required;
+- **CVSS4 Privileges Required (PR)** — required access level to exploit the vulnerabilit;
+- **CVSS4 User Interaction (UI)** — presence of user interaction;
+- **CVSS4 Confidentiality Impact to the Vulnerable System (VC)** — confidentiality impact to the vulnerable system;
+- **CVSS4 Confidentiality Impact to the Subsequent System (SC)** — confidentiality impact to the subsequent system;
+- **CVSS4 Integrity Impact to the Vulnerable System (VI)** — integrity impact to the vulnerable system;
+- **CVSS4 Integrity Impact to the Subsequent System (SI)** — integrity impact to the subsequent system;
+- **CVSS4 Availability Impact to the Vulnerable System (VA)** — availability impact to the vulnerable system;
+- **CVSS4 Availability Impact to the Subsequent System (SA)** — availability impact to the subsequent system;
 - **Vulnerability publication date** — initial disclosure date of the vulnerability;
 - **Vulnerability update date** — most recent update of the vulnerability record;
 - **Impacts (Kaspersky)** — possible Impacts values from [Kaspersky OSS Threats Data Feed](/feeds/kaspersky.en);
@@ -126,7 +139,13 @@ Next, the conditions for triggering the policy are configured; the following par
 - **Env** — development environment (e.g., prod, dev, source);
 - **Match type** — dependency detection method (by manifest, project content, or as a result of dependency resolution);
 - **Relation** — dependency relationship in the project (direct or transitive);
-- **CWE** — vulnerability type identifier according to the [Common Weakness Enumeration](https://cwe.mitre.org/) standard.
+- **CWE** — vulnerability type identifier according to the [Common Weakness Enumeration](https://cwe.mitre.org/) standard
+- **Protest package category** — protestware category;
+- **SSVC2 Exploitation** — the present state of exploitation of the vulnerability;
+- **SSVC2 Automatable** — can the vulnerability exploitation be automated;
+- **SSVC2 Technical impact** — technical impact to the vulnerable system;
+- **EPSS percentage** — estimated probability that the vulnerability will be exploited within the next 30 days;
+- **EPSS percentile** — the share of vulnerabilities with the same or lower percentage.
 
 There is an option to specify list-based values for the following parameters:
 
@@ -141,6 +160,8 @@ There is an option to specify list-based values for the following parameters:
 - **CWE list**
 - **CVSS2 severity list**
 - **CVSS3 severity list**
+- **CVSS4 severity list**
+- **Protest package category list**
 
 ## Creating a copy of the policy
 

docs/assets/img/vuln-additional.png

@@ -116,6 +116,19 @@ hide:
 - **CVSS3 Confidentiality (C)** — cтепень потери конфиденциальности данных;
 - **CVSS3 Integrity (I)** — степень потери целостности данных;
 - **CVSS3 Availability (A)** — степень потери доступности данных;
+- **Оценка CVSS4** — численная оценка угрозы по стандарту CVSS 4;
+- **Уровень угрозы CVSS4** — уровень угрозы по стандарту CVSS 4;
+- **CVSS4 Attack Vector (AV)** — вектор атаки;
+- **CVSS4 Attack Complexity (AC)** — сложность атаки;
+- **CVSS4 Attack Requirements (AT)** — наличие требований к атаке;
+- **CVSS4 Privileges Required (PR)** — требуемый уровень доступа для эксплуатации уязвимости;
+- **CVSS4 User Interaction (UI)** — наличие взаимодействия с пользователем;
+- **CVSS4 Confidentiality Impact to the Vulnerable System (VC)** — влияние на конфиденциальность уязвимой системы;
+- **CVSS4 Confidentiality Impact to the Subsequent System (SC)** — влияние на конфиденциальность последующей системы;
+- **CVSS4 Integrity Impact to the Vulnerable System (VI)** — влияние на целостность уязвимой системы;
+- **CVSS4 Integrity Impact to the Subsequent System (SI)** — влияние на целостность последующей системы;
+- **CVSS4 Availability Impact to the Vulnerable System (VA)** — влияние на доступность уязвимой системы;
+- **CVSS4 Availability Impact to the Subsequent System (SA)** — влияние на доступность последующей системы;
 - **Дата публикации уязвимости** — дата, когда уязвимость была впервые опубликована;
 - **Дата обновления уязвимости** — дата последнего обновления информации об уязвимости;
 - **Результат эксплуатации уязвимости (Kaspersky)** – поле Импакт в базе [Kaspersky OSS Threats Data Feed](/feeds/kaspersky);
@@ -126,7 +139,13 @@ hide:
 - **Окружение** — окружение разработки;
 - **Способ обнаружения** — способ обнаружения зависимости (по манифесту, содержанию проекта или в результате разрешения зависимостей);
 - **Связь** — связь зависимости в проекте (прямая или транзитивная);
-- **CWE** — идентификатор типа уязвимости по стандарту [Common Weakness Enumeration](https://cwe.mitre.org/).
+- **CWE** — идентификатор типа уязвимости по стандарту [Common Weakness Enumeration](https://cwe.mitre.org/)
+- **Категория протестного ПО** — категория протестной узявимости;
+- **SSVC2 Эксплуатация** — эксплуатируемость уязвимости;
+- **SSVC2 Автоматизируемо** — автоматизируемость уязвимости;
+- **SSVC2 Техническое влияние** — техническое влияние на уязвимую систему;
+- **EPSS процент** — вероятность использования уязвимости в реальных условиях в ближайшие 30 дней;
+- **EPSS процентиль** — доля уязвимостей с таким же или более низким баллом.
 
 Есть возможность задать списковые значения для следующих параметров:
 
@@ -141,6 +160,8 @@ hide:
 - **Список CWE**
 - **Список уровней угрозы CVSS2**
 - **Список уровней угрозы CVSS3**
+- **Список уровней угрозы CVSS4**
+- **Список категорий протестного ПО**
 
 ## Создание копии политики
 

docs/assets/img/vuln-data-sources-en.png

@@ -18,6 +18,7 @@ The vulnerability table contains the following information:
 - **Project** – the project in which the vulnerable dependency was detected;
 - **CVSS 2** – CVSS v2 threat score;
 - **CVSS 3** — CVSS v3 threat score;
+- **CVSS 4** — CVSS v4 threat score;
 - **CWE** — Common Weakness Enumeration categories to which the vulnerability belongs;
 - **Exploitable** — indicates the presence of a publicly known exploit;
 - **Reachable** — information about the vulnerability's reachability in the context of component usage;
@@ -32,7 +33,7 @@ For convenience of analysis, the list of vulnerabilities can be filtered by the
 - project category and group;
 - vulnerability publication timeframe;
 - detection date;
-- cVSS v2 and CVSS v3 rating and threat level;
+- CVSS v2, CVSS v3 and CVSS v4 rating and threat level;
 - technology;
 - dependency environment;
 - dependency relationship type (direct or transitive);
@@ -62,23 +63,46 @@ The individual vulnerability page is designed for detailed analysis of a specifi
 The top of the page displays summary information about the vulnerability:
 
 - vulnerability ID (e.g., CVE);
-- publication and update dates in the data source;
+- publication, withdrawal (if exists) and update dates in the data source;
 - presence of a publicly known exploit;
+- is vulnerability a protestware;
 - a brief description of the vulnerability;
 - associated CWE categories.
 
-The highest threat level score for the most recent CVSS version, taking all sources into account, is displayed on the right.
+Publication and withdrawal dates are the earliest dates among all the sources.
+Update date is the latest one.
+
+Vulnerability ID and description are displayed from the sources in the following order:
 
-Below you can see the breakdown by CVSS level, indicating the version and corresponding threat level.
+- CVE.ORG;
+- GHSA;
+- Kaspersky;
+- BDU;
+- Other sources in alphabetical order.
 
 ![Vuln common info](/assets/img/vuln-common-info-en.png)
 
+The highest threat level score for the most recent CVSS version, taking all sources into account, is displayed on the right.
+
+Score, severity level and other metrics are displayed from the source with the highest score for each CVSS version.
+
+Below you can also see the following information:
+
+- breakdown by CVSS level, indicating the version and corresponding threat level;
+- SSVC vector for vulnerability categorization;
+- EPSS probability of vulnerability exploitation.
+
+![Vuln scores](/assets/img/vuln-scores-en.png)
+
+
 ### Data sources and scores
 
 A list of sources where a vulnerability was reported is displayed. For each source, the following can be provided:
 
 - its own CVSS score;
 - CVSS version;
+- SSVC vector for vulnerability categorization;
+- EPSS probability of vulnerability exploitation;
 - additional attributes and metadata of the source.
 
 This allows to compare data from different sources and take into account discrepancies in scores during risk analysis.

docs/assets/img/vuln-data-sources.png

@@ -18,6 +18,7 @@ hide:
 - **Проект** — проект, в котором зафиксировано использование уязвимой зависимости;
 - **CVSS 2** — оценка угрозы по шкале CVSS v2;
 - **CVSS 3** — оценка угрозы по шкале CVSS v3;
+- **CVSS 4** — оценка угрозы по шкале CVSS v4;
 - **CWE** — категории (Common Weakness Enumeration), к которым относится уязвимость;
 - **Есть эксплойт** — признак наличия публично известного эксплойта;
 - **Достижимо** — информация о достижимости уязвимости в контексте использования компонента;
@@ -32,7 +33,7 @@ hide:
 - категория и группа проектов;
 - временной период публикации уязвимости;
 - дата обнаружения;
-- рейтинг и уровень угрозы CVSS v2 и CVSS v3;
+- рейтинг и уровень угрозы CVSS v2, CVSS v3 и CVSSv4;
 - технология;
 - окружение зависимости;
 - тип связи зависимости (прямая или транзитивная);
@@ -62,23 +63,45 @@ hide:
 В верхней части страницы отображается сводная информация об уязвимости:
 
 - идентификатор уязвимости (например, CVE);
-- даты публикации и обновления в источнике данных;
+- даты публикации, отзыва (если есть) и обновления в источнике данных;
 - наличие публично известного эксплойта;
+- является ли уязвимость протестной;
 - краткое описание уязвимости;
 - связанные категории CWE.
 
-Справа отображается наивысшая оценка уровня угрозы для наиболее новой версии CVSS с учетом всех источников.
+В качестве дат публикаций и отзыва отображаются самые ранние даты из всех источников.
+В качестве даты обновления - самая поздняя дата.
+
+Идентификатор уязвимости и краткое описание отображаются из источников в порядке приоритета:
 
-Ниже можно увидеть разделение по уровням CVSS с указанием версии и соответствующего уровня угрозы.
+- CVE.ORG;
+- GHSA;
+- Kaspersky;
+- BDU;
+- Остальные источники в алфавитном порядке.
 
 ![Vuln common info](/assets/img/vuln-common-info.png)
 
+Справа отображается наивысшая оценка уровня угрозы для наиболее новой версии CVSS с учетом всех источников.
+
+Оценка, уровень угрозы и остальные метрики отображаются из источника с наивысшей оценкой для данной версии CVSS.
+
+Ниже также могут быть представлены:
+
+- разделение по уровням CVSS с указанием версии и соответствующего уровня угрозы;
+- вектор SSVC категоризации уязвимости;
+- EPSS оценка вероятности эксплуатации;
+
+![Vuln scores](/assets/img/vuln-scores.png)
+
 ### Источники данных и оценки
 
 Для уязвимости отображается список источников, в которых она была зафиксирована. Для каждого источника могут быть представлены:
 
 - собственная оценка CVSS;
 - версия CVSS;
+- вектор SSVC категоризации уязвимости;
+- EPSS оценка вероятности эксплуатации уязвимости;
 - дополнительные атрибуты и метаданные источника.
 
 Это позволяет сопоставлять данные из разных источников и учитывать расхождения в оценках при анализе рисков.