前 言
组件漏洞的治理是一项复杂的安全活动,在组件漏洞治理描述之前,需要了解几个有关漏洞信息或等级等描述的几个概念 ~
漏洞库:漏洞数据库,主要指大型的、公开的、业界公认的漏洞数据库。比如NVD、CNVD、exploit-db等。
CVE :给每个漏洞确定唯一名称,通过CVE可以帮助安全人员快速在漏洞数据库中找到相应的漏洞信息。
CPE :漏洞所关联的产品、版本、依赖路径或命名规范等信息,通过CPE信息,可以知道某个CVE所影响的组件版本和所在产品的依赖路径。
CWE :漏洞的类型,比如某3个组件都存在SQL注入漏洞,这3个漏洞的CVE并不相同,但CWE都可描述为CWE-89 SQL注入类型的漏洞。
CVSS :通用漏洞评分系统,通过对漏洞进行评分,来定义威胁的高、中、低以便区别,辅助制定漏洞修复策略。
一,组件漏洞被引入的主要途径
1,开发人员搭建开发框架引入外部组件,导致存在漏洞的组件引入其中;
2,代码提交后,在编译构建阶段,引入依赖的组件,携带有漏洞;
3,部署
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
