文章列表

2020-10-30

如何識別與確認第三方軟體是否存在弱點 🛡️ (NIST NVC / CVE / CPE)

資安領域的發展將資安弱點以 CWE 的方式做分類,其中 OWASP TOP 10 則是精選最常見的弱點種類。而具體資安弱點則是以 CVE 的方式進行標準編號,並且以 CVSS 的方式對弱點進行評分其嚴重程度。而 NIST NVD 則另外提出 CPE 的觀念,將資訊資產項目予以編號標準化,別且連結 CPE 與 CVE 之間的關係,使安全工具自動化驗證弱點成為可能。 本篇主要說明資安領域如何以標準化的方式表示資安弱點,並嘗試蒐羅各種自助式的弱點檢測方案。