很多人會對這些名詞感到困惑,尤其是初學資訊安全的人。本篇文章我會嘗試將這些名詞做些解釋。

Bug

Bug (臭蟲),指軟體設計或執行發生的錯誤,簡單來說就是非程式設計師設想的結果。

Flaw

如果 Bug 是特權使用者才會發生的錯誤,則可稱為 Flaw,如 Linux 上的 root 或 Windows 上的 administrator。

Vulnerability

Vulnerability (弱點或漏洞),表示這個 Bug 或 Flaw 能夠被利用 (Exploit) 而造成系統的危害,如權限提升或入侵時,即稱為 Vulnerability。

Exploit = Sploit

Threat

Threat (威脅) 是指那些有可能或有能力利用 Vulnerability 來進行危害的人,例如撰寫病毒者或不滿的員工。

Risk

Risk (風險) 是所有 Threat 與 Vulnerability 交織的一連串危害的可能結果。 Risk = 危害嚴重性 x 發生可能性。

Exposure

Exposure (揭露),指 Vulnerability 有多久沒有修補。