CVE vs CWE
CVE (Common Vulnerabilities and Exposures)和CWE (Common Weakness Enumeration)都与计算机安全有关,特别是在软件系统中的漏洞和弱点的背景下。它们由不同的组织维护,服务于不同的目的,但本质上是互补的。
CVE
CVE是软件和硬件系统中已知安全漏洞和暴露的公开列表。
每个CVE entry表项由CVE编号机构(CNAs)分配唯一标识符。CVE记录包括:CVE-ID、description描述信息和references引用信息。
-
CVE由MITRE公司维护,并由美国国土安全部网络安全(U.S. DHS = United States Department of Homeland Security's Cybersecurity)和基础设施安全局(CISA = Infrastructure Security Agency)赞助。CVE帮助安全研究人员、开发人员和组织就漏洞和暴露进行沟通,以便更好地管理和缓解这些漏洞。
cve
CWE
另一方面,CWE是社区开发的常见软件弱点列表。CVE关注的是特定的、已知的漏洞,而CWE关注的是漏洞的潜在原因,比如编码错误、设计缺陷或错误配置。
CWE也由MITRE公司维护,并提供了描述这些软件弱点的通用语言和分类法。这有助于开发人员、安全研究人员和组织识别、理解并防止将弱点引入他们的软件。
以下是2022年CWE前25强的弱点列表,包括每个弱点的总分。KEV Count(CVEs)显示了CISA KEV List列表中映射到给定弱点的CVE-2020/CVE-2021记录的数量。
总之,CVE和CWE之间的关系是,它们都旨在通过提供关于漏洞和暴露(CVE)以及导致它们的潜在弱点(CWE)的通信的标准化方法来提高软件安全性。它们通常一起工作,CVE entries条目有时会引用相关的CWEs,以更深入地了解特定漏洞的根本原因。
