漏洞基本概念

Posted 2020-12-26 angiebare

CVSS(Common Vulnerability Scoring System)-通用漏洞评分系统，是一个工业标准。分值范围从0-10，威胁等级分为低，中高。

CVE：对已公开的漏洞进行统一编号，所有的漏洞扫描器都遵循这个编号。有些厂商也会对自己的漏洞进行编号。

OVAL(Open Vulnerability and Assessment Language)：描述漏洞检测方法的机器可识别语言，漏洞扫描器厂商将OVAL导入到自己产品的漏洞库中后，漏洞扫描器就知道如何扫描与发现该漏洞。

CCE：描述软件配置缺陷的一种标准化格式。

CPE(Common Product Enumeration)：信息技术产品、系统、软件包的结构化命名规范。

CWE(Common Weakness Enumeration)：常见漏洞类型的字典，描述不同类型漏洞的特征。

Security Content Automation Protocol (SCAP)是一个集合了多种安全标准的框架。主要解决的问题：

1 实现高层政策法规等到底层实施的落地

2 将信息安全所涉及的各个要素标准化

3 将复杂的系统配置核查工作自动化