CWE与CVE的用法比较

Question

CWE (通用漏洞枚举)和CVE (通用漏洞和暴露)有什么区别？它们的用法有什么不同？

Answer 1

CVE:特定软件包中的漏洞。例如CVE-2013-3527: Vanilla论坛中的SQL注入

CWE:可能导致漏洞的弱点类别。例如CWE-89: SQL注入

Answer 2

CVE (Common Vulnerabilities and Exposure)通常由以下组成：

• An ID (例如: CVE-2020-1403)；
• 漏洞描述;
• A CVSS评分(我将在后面讨论) ;
• A CWE (漏洞的种类/家族)；
• CPE列表(受CVE影响的产品) ;

通过CVE，我们可以了解有关漏洞的基本信息，我们还可以使用CVSS分数来评估关键程度。CVSS得分是用一些向量来计算的，得分在0到10之间给出了关键程度。CVSS有一个时间得分。这个分数给出了作为时间函数的临界性。例如，如果今天没有针对漏洞的补丁，时间得分将会很高。但如果明天提供补丁，时间得分将会降低。

CWE是一种漏洞。理论上，所有漏洞都可以通过CWE进行限定。例如，如果漏洞因果关系是XSS (跨站点脚本)，则定义它的CWE将是"CWE-79“。可以在这里找到所有这些CWE及其描述：https://cwe.mitre.org/index.html

Answer 3

软件弱点是可能导致软件漏洞的错误。软件漏洞(如常见漏洞和暴露(CVE)列表中列出的漏洞)是可被黑客直接用于访问系统或网络的软件中的错误。

http://cwe.mitre.org/about/faq.html#A.2