12. 對於一家正準備進行採購網站應用程式的公司來說，為什麼應該以自動化漏洞評估系統 ( Automated Vulnerability Assessment System，AVAS)作為驗收基礎，而不是根據開放式網路應用安全項目( Open Web Application Security Project，OWASP)Top 10 的 10 大弱點項目作為驗收要件？
(A) OWASP Top 10 僅涵蓋最常見的安全漏洞，而不是所 有可能的安全問題
(B) OWASP Top 10 較易於實施且成本更低
(C) AVAS 獲得領導者向象中的指標意義
(D) AVAS 僅針對網站應用程式，而 OWASP Top 10 適 用於所有類型的軟體

(A) OWASP Top 10 僅涵蓋最常見的安全漏洞，而不是所有可能的安全問題

解釋：
OWASP Top 10 是一份針對網路應用程式最關鍵安全風險的清單，主要涵蓋最常見和最嚴重的漏洞。然而，它並不包含所有可能的安全問題。如果一家公司僅以 OWASP Top 10 作為驗收標準，可能會忽略其他潛在的安全漏洞。相反地，使用自動化漏洞評估系統（AVAS）可以全面掃描並檢測更多種類的安全問題，提供更完整的安全評估。

(B) OWASP Top 10 較易於實施且成本更低

解釋：
這個選項表示 OWASP Top 10 更容易實施且成本更低，這可能在某些情況下屬實。但問題是詢問為何應該使用 AVAS 作為驗收基礎，而不是 OWASP Top 10。此選項反而支持使用 OWASP Top 10，與問題的立場相反，且未解釋為何 AVAS 更適合作為驗收標準。

(C) AVAS 獲得領導者形象中的指標意義

解釋：
此選項暗示 AVAS 在領導者的形象中具有象徵性的指標意義。然而，驗收標準應該基於技術有效性和安全需求，而非象徵意義。這個理由不足以支持使用 AVAS 作為驗收基礎。

(D) AVAS 僅針對網站應用程式，而 OWASP Top 10 適用於所有類型的軟體

解釋：
這個選項的陳述與事實相反。實際上，OWASP Top 10 專注於網路應用程式的安全風險，而非所有類型的軟體。相反地，AVAS 可以針對特定的應用程式進行深入的安全評估。因此，這個選項的理由不成立。