CVE 和 CWE 的區別是什么

CVE和CWE的區別是：

• CVE指的是產品或系統內漏洞的特定示例，CVE就好像是一個字典表，為廣泛認同的信息安全漏洞給出一個公共的名稱；CWE指的是軟件缺陷的類型，是社區開發的常見軟件和硬件安全弱點列表，它是一種通用語言，是安全工具的量尺，并且是弱點識別，緩解和預防工作的基準。

• CVE是一個已知示例的列表，CWE是一本軟件漏洞的參考書。

• CWE是通用缺陷枚舉，涉及軟件安全缺陷的方方面面。基本上可以認為CWE是所有漏洞的原理基礎性總結分析；CVE中相當數量的漏洞的成因在CWE中都可以找到相應的條目。

• 如在代碼層、應用層等多個方面的缺陷，從CWE角度看，正是由于CWE的一個或多個缺陷，從而形成了CVE的漏洞。

CVE 條目非常簡短。條目中既沒有技術數據，也不包含與風險、影響和修復有關的信息。這些詳細信息會收錄在其他數據庫中，包括美國國家漏洞數據庫（NVD）、CERT/CC 漏洞注釋數據庫以及由供應商和其他組織維護的各種列表。通過 CVE ID，用戶就能跨上述不同系統來簡便地識別同一個安全缺陷。只有滿足一系列特定條件的缺陷才會分配 CVE ID。這些缺陷必須滿足以下條件：

• 可以單獨修復。

  該缺陷可以獨立于所有其他錯誤進行修復。

• 已得到相關供應商的確認或已記錄在案。

  軟件或硬件供應商已確認錯誤，并承認其會對安全性造成負面影響。或者，報告者本應共享一份相關漏洞報告，表明錯誤會造成負面影響，且有悖于受影響系統的安全策略。

• 會影響某個代碼庫。

  如果缺陷會對多個產品造成影響，則會獲得單獨的 CVE。對于共享的庫、協議或標準，只有在使用共享代碼會容易受到攻擊時，該缺陷才會獲得單個 CVE。否則，每個受影響的代碼庫或產品都會獲得一個唯一的 CVE。

回答所涉及的環境：聯想天逸510S、Windows 10。