在軟件開發生命週期（SDLC）的設計階段（建築和詳細設計）完成後，我們必須進行審查。威脅建模是設計審查的一部分，以識別和緩解設計的安全漏洞。（有些作者可能將設計缺陷與實現錯誤區分開來，但這不是規定性的。）

CWE和CVE
在設計階段，諸如OWASP Top 10之類的CWE比CVE更適合於威脅建模，因為設計可能需要一個關係數據庫，但沒有指定其供應商或DBMS。此時，可以在不知道使用MS-SQL還是Oracle的情況下考慮和檢查SQL注入。但是，CVE是指供應商產品的特定漏洞。

-威脅建模（來源：CSSLP CBK）

通用漏洞評分系統（CVSS）
通用漏洞評分系統（CVSS）可以在開發，測試或操作/維護階段中使用，以對漏洞進行評分。
通用漏洞評分系統（CVSS）是一種免費和開放的行業標準，用於評估計算機系統安全漏洞的嚴重性。CVSS嘗試為漏洞分配嚴重性得分，從而使響應者可以根據威脅對響應和資源進行優先級排序。分數是根據一個公式計算的，該公式取決於幾個度量標準，這些度量標準近似於漏洞利用的容易程度和漏洞利用的影響。分數範圍是0到10，其中最嚴重的是10。儘管許多人僅使用CVSS基本評分來確定嚴重性，但也存在時間和環境評分，分別考慮緩解措施的可用性和組織中脆弱系統的廣泛程度。
資料來源：維基百科

-CVSS

安全內容自動化協議（SCAP）
安全內容自動化協議（SCAP）用於操作/維護階段，以自動分發安全內容，例如補丁，清單等。
安全內容自動化協議（SCAP）是一種使用特定標準來對組織中部署的系統進行自動化漏洞管理，度量和策略合規性評估的方法，包括FISMA（聯邦信息安全管理法案，2002）合規性。國家漏洞數據庫（NVD）是SCAP的美國政府內容存儲庫。SCAP的實現示例是OpenSCAP。
資料來源：維基百科

參考
. Wentz先生的CISSP DOMAIN 8軟件開發安全性會議
. 安全內容自動化協議
. 常見漏洞評分系統

資料來源： Wentz Wu QOTD-20201231