CVE&CWE概念及其关系

最新推荐文章于 2024-09-21 15:46:10 发布
最新推荐文章于 2024-09-21 15:46:10 发布
阅读量10w+ 收藏 9
点赞数 3
分类专栏: 威胁建模 文章标签: cve cwe 威胁建模
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fufu_good/article/details/104107891
版权
本文介绍了CVE(通用漏洞和风险)和CWE(通用缺陷枚举)的概念,CVE是国际著名的安全漏洞库,而CWE是软件安全战略性项目,用于枚举和分类软件源代码缺陷。二者均由美国国土安全部赞助,MITRE公司负责维护。CWE的CWSS和CWRAF研究关注缺陷的危害等级和风险评估。两者间的关系是,CWE是对CVE中缺陷分类的细化和深入研究。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 概念

CVE (Common Vulnerabilities & Exposures,通用漏洞和风险)是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。

CWE(Common Weakness Enumeration,通用缺陷枚举)是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。CWE成立于2006年,建立之初分别借鉴了来自CVE(“Common Vulnerabilities & Exposures”公共漏洞和暴露),CLASP(Comprehensive Lightweight Application Security Process,全面轻量级应用安全过程)等组织对缺陷概念描述和缺陷分类。

CWE,先后推出了CWSS(Common Weakness Scoring System)和CWRAF(Common Weakness Risk Analysis Framework)工程研究。CWSS主要研究的是对源代码缺陷产生危害的不同等级划分,目前属于研究初期,研究报告发布于2011年。报告中称:跨站脚本攻击、SQL注入、缓冲区溢出、跨站伪造请求和信息泄漏等是危害级别最高的缺陷。CWRAF是组织综合源代码缺陷描述、CWSS评分研究结合行业业务实际推出的源代码缺陷风险评估工程

随着CWE组织的发展,更多的研究机构、企业和个

最低0.47元/天 解锁文章
CVECWE的区别
君子藏器于身,待时而动
05-22 4490
CVECWE作为计算机软件安全领域重要的公开数据网站,为安全领域所熟知。本文介绍CVECWE,并分析二者的区别和发展由来。
「 网络安全常用术语解读 」通用漏洞披露CVE详解_cve漏洞库
最新发布
程序员阿飘 的博客
02-20 1214
CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。当前CVE累计收录了19万+个安全漏洞,具体的漏洞清单可以点击下载,访问密码6277。举例。
CVECWE的联系
qq_55202378的博客
06-17 1463
简单的说,你发现一个漏洞,提交给相应机构,审核通过,就会有一个CVE编号,以后通过这个CVE编号就能找到该漏洞。而CWE指的是一类漏洞,所以存在一个CWE编号对应一批CVE编号。
CWECVE
weixin_45626840的博客
01-23 915
关于CVE是什么,前辈已经阐述得很详细通透,这里不再赘述或生产一些垃圾信息,CVE公共漏洞和暴露的学习标识某个漏洞一个cve ID标识一个漏洞,那么所有CVE就是一个漏洞字典关于CVE项目的来历,官网有简单的介绍。
认识CWECVE
manok的专栏
05-18 1万+
在源代码安全领域工作的朋友都知道CWECVE,但是还是有一些朋友不太了解这两个词语。这里我根据网络资料和经验整理一下,供刚进入该领域人员的参考。 CWE(Common Weakness Enumeration,通用缺陷枚举)。是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。 CVE (Common Vulnerabilities & Exposures,常用漏洞和风险)...
一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVECWE及其与CVSS之间的关系
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-14 5645
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。
CVECWE双剑合璧】:安全漏洞管理的新纪元,从理论到实践
[CVE-CWE概念与理解介绍](https://images.carriercms.com/image/upload/w_auto,c_scale,q_auto,f_auto/v1635281209/carrier-corp/products/product security and cybersecurity/MITRE-CVE-Numbering-Authority-og....
【漏洞管理的终极武器】:CVECWE,快速识别与有效应对策略
本文详细阐述了漏洞管理的基本概念与重要性,并深入探讨了CVECWE这两个行业标准的理论基础及其在实战中的应用。通过分析CVE的查询与应用实例和CWE的风险评估与缓解策略,本文展示了如何结合这两个标准来提升漏洞...
【安全漏洞处理速成课】:学会CVECWE,提升企业安全应急能力
![【安全漏洞处理速成课】:学会CVECWE,提升企业安全应急能力]...企业安全漏洞是现代网络安全中的核心问题,本论文旨在深入理解CVECWE体系,并探索其在企业安全中的应用。通过对企
软件供应链安全——组件漏洞的治理
m0_50579386的博客
04-27 3190
前 言 漏洞库:漏洞数据库,主要指大型的、公开的、业界公认的漏洞数据库。比如NVD、CNVD、exploit-db等。 CVE:给每个漏洞确定唯一名称,通过CVE可以帮助安全人员快速在漏洞数据库中找到相应的漏洞信息。 CPE:漏洞所关联的产品、版本、依赖路径或命名规范等信息,通过CPE信息,可以知道某个CVE所影响的组件版本和所在产品的依赖路径。 CWE:漏洞的类型,比如某3个组件都存在SQL注入漏洞,这3个漏洞的CVE并不相同,但CWE都可描述为CWE-89 SQL...
「 网络安全常用术语解读 」通用缺陷枚举CWE详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
02-26 1万+
Common Weakness Enumeration,简称CWE,它是由MITRE公司维护的一个开放的、可扩展的通用语言,用于描述软件及硬件缺陷。CWE可以让安全研究人员、开发人员和安全管理人员能够更好地理解和解决安全问题。CWE本质就是一个软件和硬件缺陷类型列表,当前最新版本为4.10。本文中所提到的缺陷指软件、固件、硬件或服务组件中的一种状态,在某些情况下,可能导致漏洞的引入。
漏洞——CVE常见漏洞与暴露、CWE常见弱点枚举
计算机硕士的博客
09-21 2512
漏洞——CVE常见漏洞与暴露、CWE常见弱点枚举。
CWE(Common Weakness Enumeration,通用缺陷枚举)
我的博客
11-02 1951
总的来说,CVE是用于标识和命名特定漏洞的标准,而CWE则是用于分类和描述可能导致漏洞的弱点类型的标准。它是一个完整的缺陷数据库,为组织技术堆栈的基于软件和硬件的安全性的弱点识别和修复提供了基线。此漏洞也称为OS 命令注入,当应用程序未消除输入中存在的元素时,该漏洞处于活动状态,这些元素在发送到预期的下游组件时可能会修改命令。以上只是一部分常见的 CWE 类型,实际上 CWE 数据库对超过600类和基本级别的弱点进行分类,最严重的类型列在CWE Top 25。
信息安全术语-cvss、cve、cnvd、cnnvd、cpe、cwe、nvd
-
05-09 4814
cvss、cve、cnvd、cnnvd、cpe、cwe、nvd
什么是cve什么是cwe_什么是CVE 2020 0601又名Curveball,为何如此危险
weixin_26636643的博客
09-25 812
什么是cve什么是cweMonday the 13th of January Brian Krebs published on his blog that he had sources telling him that the day after, Microsoft would release software updates that would fix a vulnerability in ...
CVE和CVSS计算
公众号shadow sock7
05-05 2822
在线计算:https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator CVSS评分,学习素材:https://www.first.org/cvss/examples
【安全】漏洞名词扫盲(POC,EXP,CVE,CVSS等)
热门推荐
qqchaozai的专栏
12-16 2万+
POC(Proof of Concept) 漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在 EXP(Exploit) 漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本) 0DAY 含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大。 CVE(Common Vulnerabilities & Exposures) 公共漏洞和...
网安术语简述( CVSS、EPSS 、CVECWE、CPE、APT、NVD、CNNVD、CNVD)
weixin_57405945的博客
05-21 1725
CVSS(通用漏洞评分系统),用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。 EPSS (利用预测评分系统),是为了测量特定的漏洞在野外被利用的可能性。 CVE (通用漏洞和曝光),是一个公开的数据库,用于记录和识别已知的计算机安全漏洞、软件缺陷或安全风险。每个CVE条目都有一个唯一的标识符,用于引用特定的安全问题。 CWE ( 通用弱点枚举),为软件安全弱点提供了一个分类和命名系统,旨在通过对所有已识别的缺陷和暴露进行分类,帮助组织更好地解决漏洞。 CPE (通用平台枚举),是一个标
cvss漏洞评分标准_CVE202017530 | Apache Struts远程代码执行漏洞通告
weixin_36429576的博客
12-23 350
0x00 漏洞概述CVEIDCVE-2020-17530时 间2020-12-08类 型RCE等 级高危远程利用是影响范围Apache struts :2.0.0-2.5.250x01 漏洞详情Apache Struts 2 是一个用于开发Java EE网络应用程序的开源Web框架,其利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。2020年12月0...
"CVE-CWE概念与理解简介:漏洞披露与安全缺陷评分标准介绍
CVE(通用漏洞披露)是一项涉及计算机安全的重要概念。它代表着已公开披露的各种...通过综合应用CVECWE概念和评分标准,软件安全专家和开发人员能够更好地识别、理解和解决安全威胁,从而提高系统的整体安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值