@Sophia
2年前 提问
1个回答

CVE和CWE的区别是什么

房乐
2年前

CVE和CWE的区别是:

  • CVE指的是产品或系统内漏洞的特定示例,CVE就好像是一个字典表,为广泛认同的信息安全漏洞给出一个公共的名称;CWE指的是软件缺陷的类型,是社区开发的常见软件和硬件安全弱点列表,它是一种通用语言,是安全工具的量尺,并且是弱点识别,缓解和预防工作的基准。

  • CVE是一个已知示例的列表,CWE是一本软件漏洞的参考书。

  • CWE是通用缺陷枚举,涉及软件安全缺陷的方方面面。基本上可以认为CWE是所有漏洞的原理基础性总结分析;CVE中相当数量的漏洞的成因在CWE中都可以找到相应的条目。

  • 如在代码层、应用层等多个方面的缺陷,从CWE角度看,正是由于CWE的一个或多个缺陷,从而形成了CVE的漏洞。

CVE 条目非常简短。条目中既没有技术数据,也不包含与风险、影响和修复有关的信息。这些详细信息会收录在其他数据库中,包括美国国家漏洞数据库(NVD)、CERT/CC 漏洞注释数据库以及由供应商和其他组织维护的各种列表。通过 CVE ID,用户就能跨上述不同系统来简便地识别同一个安全缺陷。只有满足一系列特定条件的缺陷才会分配 CVE ID。这些缺陷必须满足以下条件:

  • 可以单独修复。

    该缺陷可以独立于所有其他错误进行修复。

  • 已得到相关供应商的确认或已记录在案。

    软件或硬件供应商已确认错误,并承认其会对安全性造成负面影响。或者,报告者本应共享一份相关漏洞报告,表明错误会造成负面影响,且有悖于受影响系统的安全策略。

  • 会影响某个代码库。

    如果缺陷会对多个产品造成影响,则会获得单独的 CVE。对于共享的库、协议或标准,只有在使用共享代码会容易受到攻击时,该缺陷才会获得单个 CVE。否则,每个受影响的代码库或产品都会获得一个唯一的 CVE。