漏洞管理(VM)是全生命周期管理中較難落實的一項工作，但它的重要性卻毋庸置疑。在漏洞管理的過程中，我們可能會遇到一些專業術語，如果沒能提前了解，將會給工作帶來不便。接下來武漢佰鈞成就針對漏洞管理領域的一些基礎知識和術語進行簡單介紹，幫助大家盡快熟悉這個領域。

武漢佰鈞成科普課堂——通用漏洞評分系統

CVSS通用漏洞評分系統，其旨在評估安全漏洞的嚴重性，是全球各組織使用的公開標準。CVE就是其系統中管理這些漏洞，給每個漏洞分配一個唯一的漏洞標記或編號。

CVE，國際通用漏洞編號，業界普遍采用的漏洞編號方法。每個編號都包含一個已知的網絡安全漏洞。如CVE-2020-15778 OpenSSH命令注入漏洞，CVE-2019-1367遠程代碼執行漏洞，CVE-2019-16905XMSS Key 解析整數溢出漏洞等。

CVE格式比較簡單，一般分為CVE-[年份]-[漏洞編號]，編號長度多為4位or5位數字。CVE在當前僅由CNA (CVE Numbering Authority)編碼授權機構進行管理。

此外，還有一些基礎知識和術語在漏洞管理工作中可能會用到，如PSIRT——產品安全與應急響應團隊，這是內外部產品漏洞的入口，管理公司漏洞庫;SN——安全公告，在發現高關注度的漏洞/事件后，對外快速響應的公告說明;SA——安全預警，發布漏洞的技術解決方案時，針對產品漏洞發布的安全預警;SLO——服務等級目標，多為內部使用，很少用于外部承諾。

武漢佰鈞成科普課堂——漏洞管理舉例

我們從漏洞研發者的角度將整個漏洞申報環節做一個展開，簡略為如下圖：

經武漢佰鈞成總結，以上術語及基礎知識都是在漏洞管理過程中使用頻率較高的內容，亦會貫徹漏洞管理的始終。業界廠商各自的漏洞管理方案雖然不完全相同，但基本邏輯是一致的，都是依照上述階段出發，根據自己公司的實際情況進行改善。了解基本內容之后，對適應多種漏洞管理體系都大有幫助。

(新媒體責編：syhz0808)