安全名词

摘要

待续。。。

#CVSS(Common Vulnerability Scoring System)
CVSS是通用的漏洞评分系统,它是工业标准,用于描述安全漏洞严重程度的统一评分方案。

CVSS使用Metric对弱电进行了分类:

  • Basic Metric 基础的恒定不变的弱点权重
  • Temporal Metric 依赖时间因素的弱点权重
  • Enviromental Metric 利用弱点的环境要求和实施难度的权重
    CVSS是安全内容自动化协议(SCAP)的一部分。通常CVSS与CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。

CVSS的评分范围是:0-10。10是最高等级,不同机构按CVSS分值定义威胁的中,高,低威胁级别,CVSS是工业标准,但是威胁等级级别不是。

#CVE(Common Vulnerabilities and Exposures)
CVE是已公开的信息安全漏洞字典,同时也是统一的漏洞编号标准。
因为CVE的存在,使得漏洞的世界秩序变得清晰可辨。

当发现一个漏洞后,CAN负责指定CVE ID,然后发布到CVE LIst中:CVE-2008-4250,然后MITRE公司负责对内容进行编辑维护。

同时有的厂商也会有自己的CVE标准,比如微软的MS漏洞编号,MSKB为补丁编号。不同组织不同机构也许会有不同的CVE标准。

#OVAL(Open Vulnerability and Assessment Language)

描述漏洞检测方法的机器可识别语言。会以xml的格式进行发布。它是一个技术性的描述。它详细的描述了漏洞检测的技术细节,可导入自动化检测工具中实施漏洞检测工作。