@Haggard
2年前 提问
1个回答
CVE和CVSS的区别是什么
帅末
2年前
CVE和CVSS的区别是:
CVE是漏洞列表,是社区开发的常见软件和硬件安全弱点列表;CVSS是分配给特定漏洞的综评分数。
CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称;CVSS是分配给特定漏洞的综评分数。
CVE列表的设计是为了方便链接来自漏洞数据库的信息,并能够对安全工具和服务进行比较;CVSS的目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。
CVSS和CVE可以一起运行,以帮助您对软件漏洞进行优先级排序。
CVE是一个公开已知的网络安全漏洞和暴露的列表。列表中的每一项都是基于在特定软件产品中发现的特定漏洞或暴露,而不是基于一般类别或类型的漏洞或暴露。CVE列表是分配给每个漏洞和暴露的CVE标识符的集合。
CVSS即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。CVSS的目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分710的漏洞通常被认为比较严重,得分在46.9之间的是中级漏洞,03.9的则是低级漏洞。所以通常来说,在安全测试中,CWE也好,CVE也好,710分的漏洞都是必须要修复的。