試題詳解

27. 【題組 2】Windows OS 重大漏洞，且被勒索集團開採成為武器，基於安全維運需要，必須進行漏洞修補與更新，所以必須掌握相關漏洞資 訊與補救措施，或取得修補程式。於是身為資安工程師必須去查找相 關漏洞資訊，CVE 漏洞資料庫成為最重要維運處置情資來源。關於CVE，下列敘述何者正確？
(A) 全名為 Command Vulnerabilities and Exposures
(B) 由 MITRE 所屬 National Cybersecurity FFRDC 營運維護
(C) CVE 對每一漏洞都有一個專屬編號，CVE 為固定的前綴字， YYYY 為西元紀年，NNNN 為產品公司編號所組成
(D) CVE ID 由 CVE 編號管理機構 CND 分配。由資安公司和研究組織組成。MITRE 不可直接發佈 CVE