CWE和CVE

在软件开发生命周期（SDLC）的设计阶段（建筑和详细设计）完成後，我们必须进行审查。威胁建模是设计审查的一部分，以识别和缓解设计的安全漏洞。（有些作者可能将设计缺陷与实现错误区分开来，但这不是规定性的。）

CWE和CVE
在设计阶段，诸如OWASP Top 10之类的CWE比CVE更适合於威胁建模，因为设计可能需要一个关系数据库，但没有指定其供应商或DBMS。此时，可以在不知道使用MS-SQL还是Oracle的情况下考虑和检查SQL注入。但是，CVE是指供应商产品的特定漏洞。

-威胁建模（来源：CSSLP CBK）

通用漏洞评分系统（CVSS）
通用漏洞评分系统（CVSS）可以在开发，测试或操作/维护阶段中使用，以对漏洞进行评分。
通用漏洞评分系统（CVSS）是一种免费和开放的行业标准，用於评估计算机系统安全漏洞的严重性。CVSS尝试为漏洞分配严重性得分，从而使响应者可以根据威胁对响应和资源进行优先级排序。分数是根据一个公式计算的，该公式取决於几个度量标准，这些度量标准近似於漏洞利用的容易程度和漏洞利用的影响。分数范围是0到10，其中最严重的是10。尽管许多人仅使用CVSS基本评分来确定严重性，但也存在时间和环境评分，分别考虑缓解措施的可用性和组织中脆弱系统的广泛程度。
资料来源：维基百科

-CVSS

安全内容自动化协议（SCAP）
安全内容自动化协议（SCAP）用於操作/维护阶段，以自动分发安全内容，例如补丁，清单等。
安全内容自动化协议（SCAP）是一种使用特定标准来对组织中部署的系统进行自动化漏洞管理，度量和策略合规性评估的方法，包括FISMA（联邦信息安全管理法案，2002）合规性。国家漏洞数据库（NVD）是SCAP的美国政府内容存储库。SCAP的实现示例是OpenSCAP。
资料来源：维基百科

参考
. Wentz先生的CISSP DOMAIN 8软件开发安全性会议
. 安全内容自动化协议
. 常见漏洞评分系统

资料来源： Wentz Wu QOTD-20201231