在很多安全測試相關的工具中，很多結果都會引用一個CVE或者CWE的編號，這個編號是什么？讓我們一起研究探索一下吧。

01、CVE介紹

CVE概念

CVE 的英文全稱是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一個字典表，為廣泛認同的信息安全漏洞或者已經暴露出來的弱點給出一個公共的名稱。

CVE產品背景

實時入侵檢測和漏洞掃描評估的技術和產品很多，有時候每個產品對同一個漏洞的表述不一樣，這個溝通起來就很費勁。

使用一個共同的名字----CVE，可以幫助用戶在各自獨立的各種漏洞數據庫中和漏洞評估工具中共享數據，雖然這些工具很難整合在一起。

CVE ID解析

CVE+年份+4位隨機數字（也有5位數字的情況）

02、CWE介紹

CWE概念

CWE（CommonWeakness Enumeration）是社區開發的常見軟件和硬件安全漏洞列表。它是一種通用語言，是安全工具的量尺，并且是弱點識別，緩解和預防工作的基準。

CWE與CVE比較

CWE涉及軟件安全缺陷的方方面面。基本上可以認為CWE是所有漏洞的原理基礎性總結分析，CVE中相當數量的漏洞的成因在CWE中都可以找到相應的條目。如在代碼層、應用層等多個方面的缺陷，從CWE角度看，正是由于CWE的一個或多個缺陷，從而形成了CVE的漏洞。

03、CVSS介紹

CVSS概念

CVSS ： Common Vulnerability Scoring System，即“通用漏洞評分系統”，是一個“行業公開標準，其被設計用來評測漏洞的嚴重程度，并幫助確定所需反應的緊急度和重要度”。

CVSS的目的是幫助人們建立衡量漏洞嚴重程度的標準，使得人們可以比較漏洞的嚴重程度，從而確定處理它們的優先級。CVSS得分基于一系列維度上的測量結果，這些測量維度被稱為量度（Metrics）。漏洞的最終得分最大為10，最小為0。得分7~10的漏洞通常被認為比較嚴重，得分在4~6.9之間的是中級漏洞，0~3.9的則是低級漏洞。

所以通常來說，在安全測試中，CWE也好，CVE也好，7~10分的漏洞都是必須要修復的。

不過有一個地方，我目前也還沒搞懂，在NVD（國家漏洞庫）中，每個CVE都有一個CVSS評分，但是CWE的CVSS評分是怎么來的我還沒搞清楚。例如，AppScan中，每個問題都對應有一個CWE ID和CVSS評分，不知道AppScan是如何給CWE評分的。