CWE与CVE的用法有关

时间:2013-07-20 05:42:49

标签: security terminology

CWE(常见弱点枚举)和CVE(常见漏洞和暴露)之间有什么区别?它们的用法有何不同?

3 个答案:

答案 0 :(得分:12)

CVE:特定软件包中的漏洞。例如CVE-2013-3527:香草论坛中的SQL注入

CWE:可能导致漏洞的弱点类别。例如CWE-89:SQL注入

答案 1 :(得分:1)

CVE(常见漏洞和披露)通常由以下组成:

  • ID(例如:CVE-2020-1403);
  • 漏洞描述;
  • CVSS分数(我稍后再谈);
  • CWE(漏洞的种类/家族);
  • CPE(受CVE影响的产品)列表;

借助CVE,我们可以了解有关漏洞的基本信息,我们还可以使用CVSS分数评估批评程度。 CVSS得分是通过一些向量计算得出的,得分在0到10之间给出了批评。 CVSS有一个时间得分。该分数给出了临界度随时间的变化。例如,如果今天没有修补漏洞,那么时间得分将很高。但是,如果明天提供补丁,则时间得分将降低。

CWE是一种漏洞。从理论上讲,所有漏洞都可以由CWE确认。例如,如果漏洞因果关系是XSS(跨站点脚本),则定义它的CWE将为“ CWE-79”。可以在这里找到所有这些CWE及其描述:https://cwe.mitre.org/index.html

答案 2 :(得分:-1)

软件缺陷是可能导致软件漏洞的错误。软件漏洞(例如常见漏洞和披露(CVE)列表中列举的漏洞)是软件中的错误,黑客可以直接使用该漏洞来访问系统或网络。

http://cwe.mitre.org/about/faq.html#A.2