CVE, CPE, CWE
Version vom 11. September 2025, 06:22 Uhr von Thomas.will (Diskussion | Beiträge)
Schaubild
![Bearbeiten](javascript:editDrawio("427794862", "cve-cwe-cpe.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
CWE (Common Weakness Enumeration)
- Kategorisierung typischer Software-Schwachstellen
- Eindeutige Kennung je Schwachstellentyp (z. B. CWE-120 für Buffer Overflow)
- Hilft Entwicklern/Analysten bei Ursachenanalyse und Prävention
- Entwickelt von der MITRE Corporation mit Unterstützung von Industrie, Forschung und Behörden
- Regelmäßige Pflege und Erweiterung durch ein internationales Community-Board
CVE (Common Vulnerabilities and Exposures)
- Internationales Referenzsystem für öffentlich bekannte Sicherheitslücken
- Eindeutige Kennung je Schwachstelle (z. B. CVE-2025-12345)
- Standard für Berichte, Sicherheitsscanner und Advisories
- Jährliche Durchnummerierung
- Herausgegeben und gepflegt von der MITRE Corporation
- Neue Einträge werden durch "CVE Numbering Authorities" (CNAs) vergeben (z. B. Hersteller, Sicherheitsfirmen)
CPE (Common Platform Enumeration)
- Standardisiertes Namensschema für IT-Produkte und -Versionen
- Eindeutige Identifikation von Systemen/Software (z. B. cpe:/a:microsoft:office:16)
- Häufig in Kombination mit CVEs zur Zuordnung betroffener Produkte
- Entwickelt von der MITRE Corporation, gepflegt und standardisiert durch NIST
- Wird u. a. in der National Vulnerability Database (NVD) eingesetzt
Zusammenhang
- CWE beschreibt den generischen Schwachstellen-Typ
- CVE beschreibt die konkrete Schwachstelle
- CPE beschreibt das betroffene Produkt