阿摩線上測驗
30. 下列何項「不」是常用的弱點分類或評分標準?
(A) CWE(Common Weakness Enumeration)
(B) CSRS(Common Security Risk System)
(C) CVE(Common Vulnerability and Exposure)
(D) CVSS(Common Vulnerability Scoring System)
統計: A(105), B(379), C(130), D(76), E(0) #3441075
詳解 (共 4 筆)
-
CVE (Common Vulnerability and Exposure):「弱點的身分證」。
-
原理:針對「特定軟體版本」中發現的「具體漏洞」給予一個全球唯一的編號(如 CVE-2026-1234)。它告訴你:「哪一個產品壞了?」
-
-
CWE (Common Weakness Enumeration):「弱點的字典/分類」。
-
原理:這是不針對特定產品,而是針對「錯誤類型」的目錄。例如 SQL Injection 是一個 CWE(CWE-89)。它告訴你:「這類錯誤的本質是什麼?」
-
-
CVSS (Common Vulnerability Scoring System):「弱點的量尺」。
-
原理:用來評估漏洞嚴重程度的標準評分系統,分數範圍為 0 到 10。它結合了攻擊難度、影響範圍等指標。它告訴你:「這個洞有多嚴重?要不要趕快補?」
-
在資訊安全領域中,A、C、D 都是非常重要且全球通用的資安弱點、漏洞管理與評分標準:
1. (A) CWE (共通弱點列表,Common Weakness Enumeration)• 說明: 由 MITRE 公司維護,主要針對**軟體、硬體或架構上的「缺陷類型」**進行分類(例如:SQL 注入、緩衝區溢位、跨網站指令碼 XSS)。• 特點: 它討論的是「漏洞的根源與類型」,而不是某個特定軟體的特定漏洞。
2. (C) CVE (共通漏洞現身錄,Common Vulnerabilities and Exposures)• 說明: 同樣由 MITRE 公司維護,給予已被發現的特定公眾漏洞一個獨一無二的識別編號(例如:CVE-2021-44228)。• 特點: 它是針對「具體產品、具體版本」的已知漏洞進行點名與記錄。
3. (D) CVSS (通用漏洞評分系統,Common Vulnerability Scoring System)• 說明: 由 FIRST(事件應變與安全小組論壇)維護,是一套用來評估漏洞嚴重程度的開放式評分標準(分數範圍為 0.0 到 10.0)。• 特點: 根據漏洞的攻擊複雜度、影響範圍等指標計算出分數,幫助企業決定修補漏洞的優先順序。
4. (B) CSRS (Common Security Risk System)• 說明: 資訊安全領域中並沒有一個廣為人知、作為通用標準的「CSRS」。這是一個混淆視聽的虛構或非主流縮寫,因此它「不是」常用的弱點分類或評分標準。
