漏洞

漏洞是指代码、配置、设计或运营实践中存在的缺陷或弱点,一旦被利用就可能危及信息系统的安全。漏洞可能源于软件缺陷(内存错误、缺少输入校验)、错误配置、弱凭据、设计疏漏或未修补的依赖。漏洞通常通过 CVE 等标识符公开编目,并由 CVSS、EPSS 等框架评分以排定修复优先级。漏洞管理需要持续发现(扫描、SAST/DAST)、基于风险的优先级排序、应用补丁或补偿性控制,以及对修复在整个资产清单中长期有效性的验证。