SCAP アプリケーションは、NVD Web サイトからルールの CVSS スコアを毎日更新し、サービスによって保守されるセキュアオペレーションセンター(SOC)で更新を保存します。
スキャンが完了すると、SCAP コンプライアンスレポートで CVSS 情報を参照できます。
ルールの CVSS 基本値は、SCAP ポリシー XML レポートに含まれます。このレポートは、XCCDF 仕様に準拠する XCCDF 結果ドキュメントです。ポリシー XML レポートは、XCCDF テスト結果を扱う XCCDF 仕様の一部に制約を課します。ルールごとの CVSS 基本値は、<Rule> 要素の子である <impact-metric> 要素でレポートされます。
証拠がレポート設定で要求されると、SCAP スキャン用の特殊なパッチが SCAP 個別ホストレポートでレポートされます。「Security Patches Up-To-Date」という特殊なルールは、SCAP ポリシーの SCAP コンテンツで定義されたすべてのパッチをリストします。テスト対象の CVE ごとに、CVSS 基本値と攻撃ベクトルが表示されます。
CVSS 基本値と現状値は、ユーザのアカウントでも CVE がある KnowledgeBase ですべての脆弱性について使用可能です。ユーザがサービスにログインすると、KnowledgeBase は、CVE ID、ベンダ特有の参照、CVSS 基本値と現状値を含むすべての脆弱性情報を表示します。CVSS スコアは、詳細な脆弱性スキャンレポートと「Host Information」ページ(「Asset Search」、「Asset Groups」、「Host Assets」項からアクセス)でも表示されます。