भेद्यता (कंप्यूटिंग)

भेद्यता एक कंप्यूटर सिस्टम की खामियां हैं जो डिवाइस/सिस्टम की समग्र सुरक्षा को कमजोर करती हैं। भेद्यता या तो हार्डवेयर में या हार्डवेयर पर चलने वाले सॉफ़्टवेयर में कमज़ोरी हो सकती है। एक कंप्यूटर सिस्टम के भीतर विशेषाधिकार सीमाओं को पार करने (यानी अनधिकृत कार्यों को करने) के लिए हमलावर जैसे खतरे वाले अभिनेता द्वारा भेद्यता शोषण (कंप्यूटर सुरक्षा) हो सकती है। भेद्यता का फायदा उठाने के लिए, एक हमलावर के पास कम से कम एक लागू उपकरण या तकनीक होनी चाहिए जो सिस्टम की कमजोरी से जुड़ सके। इस फ्रेम में, कमजोरियों को हमले की सतह के रूप में भी जाना जाता है।

भेद्यता प्रबंधन एक चक्रीय अभ्यास है जो सिद्धांत में भिन्न होता है लेकिन इसमें सामान्य प्रक्रियाएं शामिल होती हैं जिनमें शामिल हैं: सभी संपत्तियों की खोज करें, संपत्तियों को प्राथमिकता दें, एक पूर्ण भेद्यता स्कैन का आकलन करें या करें, परिणामों पर रिपोर्ट करें, कमजोरियों को दूर करें, उपचार को सत्यापित करें - दोहराएँ। यह प्रथा आम तौर पर कंप्यूटिंग सिस्टम में सॉफ़्टवेयर भेद्यता को संदर्भित करती है। फुर्तीली भेद्यता प्रबंधन का तात्पर्य सभी कमजोरियों की जल्द से जल्द पहचान करके हमलों को रोकना है। एक सुरक्षा जोखिम को अक्सर गलत तरीके से भेद्यता के रूप में वर्गीकृत किया जाता है। जोखिम के समान अर्थ के साथ भेद्यता का उपयोग भ्रम पैदा कर सकता है। जोखिम एक भेद्यता के शोषण से उत्पन्न एक महत्वपूर्ण प्रभाव की संभावना है। फिर जोखिम के बिना भेद्यताएं हैं: उदाहरण के लिए जब प्रभावित संपत्ति (कंप्यूटिंग) का कोई मूल्य नहीं है। काम करने और पूरी तरह से कार्यान्वित हमलों के एक या अधिक ज्ञात उदाहरणों के साथ भेद्यता को शोषण योग्य भेद्यता के रूप में वर्गीकृत किया गया है - एक भेद्यता जिसके लिए एक शोषण (कंप्यूटर सुरक्षा) मौजूद है। भेद्यता की खिड़की वह समय है जब सुरक्षा छेद पेश किया गया था या तैनात सॉफ़्टवेयर में प्रकट हुआ था, जब पहुंच हटा दी गई थी, एक सुरक्षा फिक्स उपलब्ध था/तैनात किया गया था, या हमलावर अक्षम था-शून्य-दिन का हमला देखें।

सुरक्षा बग (मैलवेयर#सुरक्षा दोष) एक संकुचित अवधारणा है। ऐसी भेद्यताएँ हैं जो सॉफ़्टवेयर से संबंधित नहीं हैं: संगणक धातु सामग्री, साइट, कार्मिक भेद्यताएँ भेद्यता के उदाहरण हैं जो सॉफ़्टवेयर सुरक्षा बग नहीं हैं।

कंप्यूटर भाषा में निर्माण जो ठीक से उपयोग करने में कठिन हैं, बड़ी संख्या में कमजोरियों को प्रकट कर सकते हैं।

परिभाषाएँ
मानकीकरण के लिए अंतर्राष्ट्रीय संगठन ISO/IEC 27005 भेद्यता को इस प्रकार परिभाषित करता है: : एक संपत्ति या संपत्ति के समूह की एक कमजोरी जिसका एक या अधिक खतरों से फायदा उठाया जा सकता है, जहां एक संपत्ति कुछ भी है जो संगठन के लिए मूल्यवान है, इसके व्यवसाय संचालन और उनकी निरंतरता, जिसमें सूचना संसाधन शामिल हैं जो संगठन के मिशन का समर्थन करते हैं आईईटीएफ आरएफसी 4949 भेद्यता के रूप में:
 * सिस्टम के डिजाइन, कार्यान्वयन, या संचालन और प्रबंधन में दोष या कमजोरी जिसका सिस्टम की सुरक्षा नीति का उल्लंघन करने के लिए शोषण किया जा सकता है

संयुक्त राज्य अमेरिका की राष्ट्रीय सुरक्षा प्रणालियों की समिति ने सीएनएसएस निर्देश संख्या 4009 दिनांक 26 अप्रैल 2010 राष्ट्रीय सूचना आश्वासन शब्दावली में 'भेद्यता' को परिभाषित किया:
 * भेद्यता - एक सूचना प्रणाली, प्रणाली सुरक्षा प्रक्रियाओं, आंतरिक नियंत्रण, या कार्यान्वयन में कमजोरी जिसका किसी खतरे के स्रोत द्वारा फायदा उठाया जा सकता है।

कई एनआईएसटी प्रकाशन विभिन्न प्रकाशनों में आईटी संदर्भ में 'भेद्यता' को परिभाषित करते हैं: FISMApedia शर्त एक सूची प्रदान करें। उनके बीच एसपी 800-30, एक विस्तृत दें:
 * सिस्टम सुरक्षा प्रक्रियाओं, डिज़ाइन, कार्यान्वयन, या आंतरिक नियंत्रणों में एक दोष या कमजोरी जिसका प्रयोग किया जा सकता है (गलती से ट्रिगर या जानबूझकर शोषण) और जिसके परिणामस्वरूप सुरक्षा उल्लंघन या सिस्टम की सुरक्षा नीति का उल्लंघन होता है।

ENISA 'भेद्यता' को परिभाषित करता है जैसा:
 * एक कमजोरी, डिजाइन, या कार्यान्वयन त्रुटि का अस्तित्व जो एक अप्रत्याशित, अवांछनीय घटना का कारण बन सकता है [जी.11] कंप्यूटर सिस्टम, नेटवर्क, एप्लिकेशन, या प्रोटोकॉल की सुरक्षा से समझौता करना। (आईटीएसईसी)

ओपन ग्रुप 'भेद्यता' को परिभाषित करता है जैसा
 * संभावना है कि खतरे की क्षमता खतरे का विरोध करने की क्षमता से अधिक है।

सूचना जोखिम का कारक विश्लेषण (एफएआईआर) 'भेद्यता' को इस प्रकार परिभाषित करता है:
 * संभावना है कि एक संपत्ति खतरे के एजेंट के कार्यों का विरोध करने में असमर्थ होगी

एफएआईआर के अनुसार भेद्यता नियंत्रण शक्ति से संबंधित है, यानी बल के एक मानक माप और खतरे (कंप्यूटर) क्षमताओं की तुलना में नियंत्रण की ताकत, यानी बल का संभावित स्तर जो एक खतरे का एजेंट किसी संपत्ति के खिलाफ आवेदन करने में सक्षम है।

आईएसएसीए इसे दांव पर लगाओ फ्रेमवर्क में 'भेद्यता' को परिभाषित करता है:
 * डिजाइन, कार्यान्वयन, संचालन या आंतरिक नियंत्रण में कमजोरी

डेटा और कंप्यूटर सुरक्षा: मानकों की अवधारणाओं और शर्तों का शब्दकोश, लेखक डेनिस लॉन्गले और माइकल शेन, स्टॉकटन प्रेस, ISBN 0-935859-17-9भेद्यता को इस प्रकार परिभाषित करता है:
 * 1) कंप्यूटर सुरक्षा में, स्वचालित सिस्टम सुरक्षा प्रक्रियाओं, प्रशासनिक नियंत्रण, इंटरनेट नियंत्रण आदि में एक कमजोरी, जिसका उपयोग सूचना तक अनधिकृत पहुंच प्राप्त करने या महत्वपूर्ण प्रसंस्करण को बाधित करने के खतरे से किया जा सकता है। 2) कंप्यूटर सुरक्षा में, भौतिक लेआउट, संगठन, प्रक्रियाओं, कर्मियों, प्रबंधन, प्रशासन, हार्डवेयर या सॉफ़्टवेयर में कमजोरी जिसका उपयोग ADP प्रणाली या गतिविधि को नुकसान पहुँचाने के लिए किया जा सकता है। 3) कंप्यूटर सुरक्षा में, सिस्टम में मौजूद कोई कमजोरी या दोष। हमला या हानिकारक घटना, या उस हमले को अंजाम देने के लिए खतरे के एजेंट के लिए उपलब्ध अवसर।

मैट बिशप और डेव बेली कंप्यूटर भेद्यता की निम्नलिखित परिभाषा दें:
 * कंप्यूटर सिस्टम कंप्यूटर सिस्टम बनाने वाली संस्थाओं की वर्तमान कॉन्फ़िगरेशन का वर्णन करने वाले राज्यों से बना है। सिस्टम राज्य संक्रमणों के अनुप्रयोग के माध्यम से गणना करता है जो सिस्टम की स्थिति को बदलते हैं। सुरक्षा नीति द्वारा परिभाषित राज्य संक्रमणों के एक सेट का उपयोग करके किसी दिए गए प्रारंभिक राज्य से पहुंचने योग्य सभी राज्य अधिकृत या अनधिकृत वर्ग में आते हैं। इस पत्र में, इन वर्गों और संक्रमणों की परिभाषाओं को स्वयंसिद्ध माना जाता है। एक असुरक्षित राज्य एक अधिकृत राज्य है जिससे अधिकृत राज्य संक्रमणों का उपयोग करके एक अनधिकृत राज्य तक पहुँचा जा सकता है। एक समझौता राज्य इस तरह पहुंचा राज्य है। एक हमला अधिकृत राज्य संक्रमणों का एक क्रम है जो एक समझौता स्थिति में समाप्त होता है। परिभाषा के अनुसार, हमला कमजोर अवस्था में शुरू होता है। भेद्यता एक कमजोर स्थिति का एक लक्षण है जो इसे सभी गैर-संवेदनशील राज्यों से अलग करती है। यदि सामान्य है, भेद्यता कई कमजोर राज्यों की विशेषता हो सकती है; यदि विशिष्ट है, तो यह केवल एक की विशेषता हो सकती है...

राष्ट्रीय सूचना आश्वासन प्रशिक्षण और शिक्षा केंद्र भेद्यता को परिभाषित करता है:
 * स्वचालित प्रणाली सुरक्षा प्रक्रियाओं, प्रशासनिक नियंत्रणों, आंतरिक नियंत्रणों और अन्य में एक कमजोरी, जिसका उपयोग सूचना तक अनधिकृत पहुंच प्राप्त करने या महत्वपूर्ण प्रसंस्करण को बाधित करने के खतरे से किया जा सकता है। 2. सिस्टम सुरक्षा प्रक्रियाओं, हार्डवेयर डिज़ाइन, आंतरिक नियंत्रण आदि में एक कमज़ोरी, जिसका फायदा गोपनीय या संवेदनशील जानकारी तक अनधिकृत पहुँच प्राप्त करने के लिए उठाया जा सकता है। 3. भौतिक लेआउट, संगठन, प्रक्रियाओं, कर्मियों, प्रबंधन, प्रशासन, हार्डवेयर, या सॉफ़्टवेयर में कमजोरी जिसका उपयोग ADP प्रणाली या गतिविधि को नुकसान पहुँचाने के लिए किया जा सकता है। भेद्यता की उपस्थिति अपने आप में नुकसान नहीं पहुँचाती है; एक भेद्यता केवल एक स्थिति या स्थितियों का समूह है जो ADP प्रणाली या गतिविधि को किसी हमले से नुकसान पहुँचा सकती है। 4. मुख्य रूप से आंतरिक वातावरण (संपत्ति) की संस्थाओं से संबंधित एक अभिकथन; हम कहते हैं कि एक संपत्ति (या संपत्ति का वर्ग) कमजोर है (किसी तरह से, संभवतः एक एजेंट या एजेंटों का संग्रह शामिल है); हम लिखते हैं: V(i,e) जहां: e एक रिक्त समुच्चय हो सकता है। 5. विभिन्न खतरों के प्रति संवेदनशीलता। 6. एक विशिष्ट आंतरिक इकाई के गुणों का एक सेट, जो एक विशिष्ट बाहरी इकाई के गुणों के एक सेट के साथ मिलकर एक जोखिम का तात्पर्य है। 7. एक प्रणाली की विशेषताएं जो इसे एक अप्राकृतिक (मानव निर्मित) शत्रुतापूर्ण वातावरण में एक निश्चित स्तर के प्रभावों के अधीन होने के परिणामस्वरूप एक निश्चित गिरावट (निर्दिष्ट मिशन को करने में असमर्थता) का कारण बनती हैं।

भेद्यता और जोखिम कारक मॉडल
एक संसाधन (भौतिक या तार्किक) में एक या अधिक भेद्यताएं हो सकती हैं जिनका एक खतरे वाले अभिनेता द्वारा शोषण किया जा सकता है। परिणाम संभावित रूप से एक संगठन और/या अन्य शामिल पार्टियों (ग्राहकों, आपूर्तिकर्ताओं) से संबंधित संसाधनों की गोपनीयता, अखंडता या संसाधनों की उपलब्धता (आवश्यक रूप से कमजोर नहीं) से समझौता कर सकते हैं। तथाकथित CIA तिकड़ी सूचना सुरक्षा की आधारशिला है।

एक हमला सक्रिय हो सकता है जब यह सिस्टम संसाधनों को बदलने का प्रयास करता है या उनके संचालन को प्रभावित करता है, अखंडता या उपलब्धता से समझौता करता है। एक निष्क्रिय हमला सिस्टम से जानकारी सीखने या उपयोग करने का प्रयास करता है लेकिन गोपनीयता से समझौता करते हुए सिस्टम संसाधनों को प्रभावित नहीं करता है।

OWASP (आकृति देखें) एक ही घटना को थोड़े अलग शब्दों में दर्शाता है: एक हमले के वेक्टर के माध्यम से एक खतरा एजेंट सिस्टम की कमजोरी (भेद्यता) और संबंधित सुरक्षा नियंत्रणों का फायदा उठाता है, जिससे आईटी संसाधन (परिसंपत्ति) पर तकनीकी प्रभाव पड़ता है। व्यवसाय प्रभाव।

समग्र चित्र जोखिम परिदृश्य के जोखिम कारक (कंप्यूटिंग) को दर्शाता है।

सूचना सुरक्षा प्रबंधन प्रणाली
सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) से संबंधित नीतियों का एक सेट, जोखिम प्रबंधन सिद्धांतों के अनुसार प्रबंधन के लिए विकसित किया गया है, यह सुनिश्चित करने के लिए प्रतिउपाय (कंप्यूटर) एक सुरक्षा रणनीति सुनिश्चित करने के लिए किसी दिए गए संगठन के लिए लागू नियमों और विनियमों का पालन करता है।. इन प्रत्युपायों को सुरक्षा नियंत्रण भी कहा जाता है, लेकिन जब सूचना के प्रसारण के लिए लागू किया जाता है, तो उन्हें सुरक्षा सेवा (दूरसंचार) कहा जाता है।

वर्गीकरण
कमजोरियों को उस परिसंपत्ति वर्ग के अनुसार वर्गीकृत किया जाता है जिससे वे संबंधित हैं:
 * हार्डवेयर
 * नमी या धूल के प्रति संवेदनशीलता
 * असुरक्षित भंडारण के लिए संवेदनशीलता
 * आयु-आधारित पहनावा जो असफलता का कारण बनता है
 * अधिक गरम करना
 * सॉफ़्टवेयर
 * अपर्याप्त परीक्षण
 * असुरक्षित कोडिंग
 * लेखापरीक्षा की कमी
 * रचनात्मक गलती
 * नेटवर्क
 * असुरक्षित संचार लाइनें (जैसे क्रिप्टोग्राफी की कमी)
 * असुरक्षित नेटवर्क आर्किटेक्चर
 * कार्मिक
 * अपर्याप्त भर्ती प्रक्रिया
 * अपर्याप्त सुरक्षा जागरूकता
 * अंदरूनी खतरा
 * भौतिक स्थल
 * प्राकृतिक आपदाओं के अधीन क्षेत्र (जैसे बाढ़, भूकंप)
 * शक्ति स्रोत में रुकावट
 * संगठनात्मक
 * नियमित ऑडिट की कमी
 * निरंतरता योजनाओं की कमी
 * सुरक्षा की कमी

कारण
शोध से पता चला है कि अधिकांश सूचना प्रणालियों में सबसे कमजोर बिंदु मानव उपयोगकर्ता, ऑपरेटर, डिजाइनर या अन्य मानव हैं: इसलिए मनुष्यों को उनकी विभिन्न भूमिकाओं में संपत्ति, खतरे, सूचना संसाधनों के रूप में माना जाना चाहिए। सोशल इंजीनियरिंग (सुरक्षा) एक बढ़ती हुई सुरक्षा चिंता है।
 * जटिलता: बड़ी, जटिल प्रणालियाँ खामियों और अनपेक्षित फ़ाइल सिस्टम अनुमतियों की संभावना को बढ़ाती हैं। *परिचितता: सामान्य, जाने-माने कोड, सॉफ़्टवेयर, ऑपरेटिंग सिस्टम और/या हार्डवेयर का उपयोग करने से इस बात की संभावना बढ़ जाती है कि हमलावर के पास दोष का फायदा उठाने के लिए ज्ञान और उपकरण हैं या वह उसे ढूंढ सकता है।
 * कनेक्टिविटी: अधिक भौतिक कनेक्शन, विशेषाधिकार, बंदरगाह, प्रोटोकॉल, और सेवाएं और उनमें से प्रत्येक का समय पहुंच योग्य होने से भेद्यता में वृद्धि होती है। *पासवर्ड प्रबंधन दोष: कंप्यूटर उपयोगकर्ता पासवर्ड शक्ति का उपयोग करता है जिसे क्रूर बल द्वारा खोजा जा सकता है। कंप्यूटर उपयोगकर्ता कंप्यूटर पर पासवर्ड संग्रहीत करता है जहां प्रोग्राम इसे एक्सेस कर सकता है। उपयोगकर्ता कई कार्यक्रमों और वेबसाइटों के बीच पासवर्ड का पुन: उपयोग करते हैं।
 * मौलिक ऑपरेटिंग सिस्टम डिज़ाइन दोष: ऑपरेटिंग सिस्टम डिज़ाइनर उपयोगकर्ता/प्रोग्राम प्रबंधन पर उप-इष्टतम नीतियों को लागू करना चुनता है। उदाहरण के लिए, डिफ़ॉल्ट परमिट जैसी नीतियों के साथ ऑपरेटिंग सिस्टम प्रत्येक प्रोग्राम और प्रत्येक उपयोगकर्ता को संपूर्ण कंप्यूटर तक पूर्ण पहुंच प्रदान करते हैं। यह ऑपरेटिंग सिस्टम दोष वायरस और मैलवेयर को प्रशासक की ओर से कमांड निष्पादित करने की अनुमति देता है।
 * इंटरनेट वेबसाइट ब्राउजिंग: कुछ इंटरनेट वेबसाइटों में हानिकारक स्पाइवेयर या एडवेयर हो सकते हैं जो कंप्यूटर सिस्टम पर स्वचालित रूप से स्थापित हो सकते हैं। उन वेबसाइटों पर जाने के बाद, कंप्यूटर सिस्टम संक्रमित हो जाते हैं और व्यक्तिगत जानकारी एकत्र की जाएगी और तीसरे पक्ष के व्यक्तियों को दी जाएगी।
 * सॉफ्टवेयर बग: प्रोग्रामर एक सॉफ्टवेयर प्रोग्राम में शोषक बग छोड़ देता है। सॉफ़्टवेयर बग एक हमलावर को किसी एप्लिकेशन का दुरुपयोग करने की अनुमति दे सकता है। * अनियंत्रित उपयोगकर्ता इनपुट: कार्यक्रम मानता है कि सभी उपयोगकर्ता इनपुट सुरक्षित हैं। प्रोग्राम जो उपयोगकर्ता इनपुट की जांच नहीं करते हैं, कमांड या एसक्यूएल स्टेटमेंट्स के अनपेक्षित प्रत्यक्ष निष्पादन की अनुमति दे सकते हैं (बफ़र अधिकता, एसक्यूएल इंजेक्षन या अन्य गैर-मान्य इनपुट के रूप में जाना जाता है)। *पिछली गलतियों से सीख नहीं लेना: उदाहरण के लिए IPv4 प्रोटोकॉल सॉफ़्टवेयर में खोजी गई अधिकांश भेद्यताएँ नए IPv6 कार्यान्वयन में खोजी गई थीं।

परिणाम
सुरक्षा भंग का प्रभाव बहुत अधिक हो सकता है। अधिकांश कानून आईटी प्रबंधकों की आईटी प्रणालियों और अनुप्रयोगों की कमजोरियों को दूर करने में विफलता को देखते हैं यदि उन्हें कदाचार के रूप में जाना जाता है; आईटी प्रबंधकों के पास आईटी जोखिम का प्रबंधन करने की जिम्मेदारी है। गोपनीयता कानून प्रबंधकों को उस सुरक्षा जोखिम के प्रभाव या संभावना को कम करने के लिए कार्य करने के लिए बाध्य करता है। सूचना प्रौद्योगिकी सुरक्षा ऑडिट अन्य स्वतंत्र लोगों को यह प्रमाणित करने का एक तरीका है कि आईटी वातावरण ठीक से प्रबंधित किया जाता है और जिम्मेदारियों को कम करता है, कम से कम अच्छा विश्वास प्रदर्शित करता है। प्रवेश परीक्षा एक संगठन द्वारा अपनाई गई कमजोरी और प्रत्युपायों के सत्यापन का एक रूप है: एक व्हाइट हैट (कंप्यूटर सुरक्षा) हैकर किसी संगठन की सूचना प्रौद्योगिकी संपत्ति पर हमला करने की कोशिश करता है, यह पता लगाने के लिए कि आईटी सुरक्षा से समझौता करना कितना आसान या कठिन है। आईटी जोखिम को व्यावसायिक रूप से प्रबंधित करने का उचित तरीका सूचना सुरक्षा प्रबंधन प्रणाली, जैसे कि आईएसओ/आईईसी 27002 या जोखिम आईटी को अपनाना और उच्च प्रबंधन द्वारा निर्धारित सुरक्षा रणनीति के अनुसार उनका पालन करना है।

सूचना सुरक्षा की प्रमुख अवधारणाओं में से एक गहराई में रक्षा का सिद्धांत है, अर्थात एक बहुपरत रक्षा प्रणाली स्थापित करना जो: * शोषण को रोकें घुसपैठ का पता लगाने वाली प्रणाली हमले (कंप्यूटिंग) का पता लगाने के लिए इस्तेमाल की जाने वाली प्रणालियों के एक वर्ग का एक उदाहरण है।
 * हमले का पता लगाएं और रोकें
 * धमकी देने वाले एजेंटों का पता लगाएं और उन पर मुकदमा चलाएं

भौतिक सुरक्षा एक सूचना संपत्ति की भौतिक सुरक्षा के उपायों का एक सेट है: यदि कोई सूचना संपत्ति तक भौतिक पहुंच प्राप्त कर सकता है, तो यह व्यापक रूप से स्वीकार किया जाता है कि एक हमलावर उस पर किसी भी जानकारी तक पहुंच सकता है या संसाधन को उसके वैध उपयोगकर्ताओं के लिए अनुपलब्ध बना सकता है।

एक कंप्यूटर, इसके ऑपरेटिंग सिस्टम और एक अच्छे सुरक्षा स्तर को पूरा करने के लिए अनुप्रयोगों को पूरा करने के लिए मानदंडों के कुछ सेट विकसित किए गए हैं: ITSEC और सामान्य मानदंड दो उदाहरण हैं।

भेद्यता प्रकटीकरण
समन्वित प्रकटीकरण (कुछ इसे 'जिम्मेदार प्रकटीकरण' के रूप में संदर्भित करते हैं लेकिन इसे दूसरों द्वारा पक्षपातपूर्ण शब्द माना जाता है) कमजोरियों का एक बड़ा बहस का विषय है। जैसा कि अगस्त 2010 में द टेक हेराल्ड द्वारा रिपोर्ट किया गया था, Google, Microsoft, टिप बिंदु और रैपिडेड ने दिशा-निर्देश और बयान जारी किए हैं कि वे आगे चलकर प्रकटीकरण से कैसे निपटेंगे। अन्य विधि आम तौर पर पूर्ण प्रकटीकरण (कंप्यूटर सुरक्षा) है, जब भेद्यता के सभी विवरणों को प्रचारित किया जाता है, कभी-कभी सॉफ़्टवेयर लेखक पर अधिक तेज़ी से सुधार प्रकाशित करने के लिए दबाव डालने के इरादे से। जनवरी 2014 में जब Microsoft ने इसे ठीक करने के लिए एक पैच जारी करने से पहले Microsoft भेद्यता का खुलासा किया, तो एक Microsoft प्रतिनिधि ने प्रकटीकरण प्रकट करने में सॉफ़्टवेयर कंपनियों के बीच समन्वित प्रथाओं का आह्वान किया।

भेद्यता सूची
मेटर कॉर्पोरेशन सामान्य कमजोरियों और एक्सपोजर नामक प्रणाली में सार्वजनिक रूप से प्रकट कमजोरियों की एक अधूरी सूची रखता है। यह जानकारी तुरंत राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) के साथ साझा की जाती है, जहाँ प्रत्येक भेद्यता को सामान्य भेद्यता स्कोरिंग सिस्टम (CVSS), सामान्य प्लेटफ़ॉर्म गणना (CPE) योजना और सामान्य कमज़ोरी गणना का उपयोग करके एक जोखिम स्कोर दिया जाता है।

क्लाउड सेवा प्रदाता अक्सर सामान्य भेद्यता और जोखिम प्रणाली का उपयोग करके अपनी सेवाओं में सुरक्षा समस्याओं को सूचीबद्ध नहीं करते हैं। क्लाउड कम्प्यूटिंग भेद्यता गणना, गंभीरता मूल्यांकन और कोई एकीकृत ट्रैकिंग तंत्र के लिए वर्तमान में कोई सार्वभौमिक मानक नहीं है। ओपन सीवीडीबी पहल एक समुदाय-संचालित केंद्रीकृत क्लाउड भेद्यता डेटाबेस है जो सीएसपी कमजोरियों को सूचीबद्ध करता है, और उन चरणों को सूचीबद्ध करता है जो उपयोगकर्ता अपने स्वयं के वातावरण में इन मुद्दों का पता लगाने या उन्हें रोकने के लिए उठा सकते हैं। OWASP सिस्टम डिज़ाइनरों और प्रोग्रामरों को शिक्षित करने के उद्देश्य से भेद्यता वर्गों की एक सूची रखता है, इसलिए सॉफ़्टवेयर में अनजाने में लिखी गई कमजोरियों की संभावना को कम करता है।

भेद्यता प्रकटीकरण तिथि
भेद्यता के प्रकटीकरण का समय सुरक्षा समुदाय और उद्योग में अलग तरह से परिभाषित किया गया है। इसे आमतौर पर एक निश्चित पार्टी द्वारा सुरक्षा जानकारी के एक प्रकार के सार्वजनिक प्रकटीकरण के रूप में संदर्भित किया जाता है। आमतौर पर, भेद्यता की जानकारी पर मेलिंग सूची पर चर्चा की जाती है या सुरक्षा वेब साइट पर प्रकाशित की जाती है और इसके परिणामस्वरूप सुरक्षा सलाह दी जाती है।

प्रकटीकरण का समय पहली तारीख है जब किसी चैनल पर सुरक्षा भेद्यता का वर्णन किया जाता है, जहां भेद्यता पर प्रकट की गई जानकारी को निम्नलिखित आवश्यकता को पूरा करना होता है:


 * जानकारी जनता के लिए स्वतंत्र रूप से उपलब्ध है
 * भेद्यता की जानकारी एक विश्वसनीय और स्वतंत्र चैनल/स्रोत द्वारा प्रकाशित की जाती है
 * भेद्यता का विशेषज्ञों द्वारा विश्लेषण किया गया है जैसे कि प्रकटीकरण पर जोखिम रेटिंग जानकारी शामिल है

कमजोरियों की पहचान करना और उन्हें दूर करना कई सॉफ्टवेयर उपकरण मौजूद हैं जो कंप्यूटर सिस्टम में कमजोरियों की खोज (और कभी-कभी हटाने) में सहायता कर सकते हैं। हालांकि ये उपकरण ऑडिटर को मौजूद संभावित कमजोरियों का एक अच्छा अवलोकन प्रदान कर सकते हैं, लेकिन वे मानवीय निर्णय को प्रतिस्थापित नहीं कर सकते हैं। पूरी तरह से स्कैनर पर निर्भर रहने से सिस्टम में मौजूद समस्याओं के बारे में झूठी सकारात्मकता और सीमित दायरे का दृश्य मिलेगा।

हर बड़े ऑपरेटिंग सिस्टम में कमजोरियां पाई गई हैं Microsoft Windows, macOS, Unix और Linux के विभिन्न रूपों, OpenVMS, और अन्य सहित। किसी सिस्टम के खिलाफ उपयोग की जा रही भेद्यता की संभावना को कम करने का एकमात्र तरीका निरंतर सतर्कता के माध्यम से है, जिसमें सावधानीपूर्वक सिस्टम रखरखाव (जैसे सॉफ़्टवेयर पैच लागू करना), परिनियोजन में सर्वोत्तम अभ्यास (जैसे फ़ायरवॉल (नेटवर्किंग) और पहुँच नियंत्रण का उपयोग) और ऑडिटिंग शामिल है। (दोनों विकास के दौरान और पूरे परिनियोजन जीवनचक्र के दौरान)।

वे स्थान जिनमें भेद्यता प्रकट होती है
भेद्यताएं संबंधित हैं और इनमें प्रकट हो सकती हैं: यह स्पष्ट है कि एक शुद्ध तकनीकी दृष्टिकोण हमेशा भौतिक संपत्तियों की रक्षा नहीं कर सकता है: रखरखाव कर्मियों को सुविधाओं में प्रवेश करने और प्रक्रियाओं के पर्याप्त ज्ञान वाले लोगों को उचित देखभाल के साथ पालन करने के लिए प्रेरित करने के लिए प्रशासनिक प्रक्रिया होनी चाहिए। हालाँकि, तकनीकी सुरक्षा आवश्यक रूप से सामाजिक इंजीनियरिंग (सुरक्षा) हमलों को नहीं रोकती है।
 * सिस्टम का भौतिक वातावरण
 * कार्मिक (यानी कर्मचारी, प्रबंधन)
 * प्रशासन प्रक्रियाओं और सुरक्षा नीति
 * व्यापार संचालन और सेवा वितरण
 * परिधीय उपकरणों सहित हार्डवेयर
 * सॉफ्टवेयर (अर्थात परिसर में या क्लाउड में)
 * कनेक्टिविटी (यानी संचार उपकरण और सुविधाएं)

कमजोरियों के उदाहरण:
 * एक हमलावर संवेदनशील डेटा को बाहर निकालने के लिए मैलवेयर स्थापित करने के लिए बफर ओवरफ्लो की कमजोरी को ढूंढता है और उसका उपयोग करता है;
 * एक हमलावर उपयोगकर्ता को संलग्न मैलवेयर के साथ एक ईमेल संदेश खोलने के लिए राजी करता है;
 * बाढ़ भूतल पर स्थापित कंप्यूटर सिस्टम को नुकसान पहुँचाती है।

सॉफ़्टवेयर भेद्यता
कमजोरियों की ओर ले जाने वाली सामान्य प्रकार की सॉफ़्टवेयर त्रुटियों में शामिल हैं:
 * स्मृति सुरक्षा उल्लंघन, जैसे:
 * बफर ओवरफ्लो और बफर ओवर-रीड|ओवर-रीड
 * झूलने वाले संकेत
 * डेटा सत्यापन त्रुटियां, जैसे:
 * कोड इंजेक्शन
 * वेब अनुप्रयोगों में क्रॉस साइट स्क्रिप्टिंग
 * निर्देशिका ट्रैवर्सल
 * ई-मेल इंजेक्शन
 * प्रारूप स्ट्रिंग हमले
 * HTTP हेडर इंजेक्शन
 * HTTP प्रतिक्रिया विभाजन
 * एसक्यूएल इंजेक्षन
 * भ्रमित उप समस्या|विशेषाधिकार-भ्रम बग, जैसे:
 * क्लिकजैकिंग
 * वेब अनुप्रयोगों में क्रॉस-साइट अनुरोध जालसाजी
 * एफ़टीपी उछाल हमला
 * विशेषाधिकार वृद्धि
 * दौड़ की स्थिति, जैसे:
 * सिमलिंक दौड़
 * टाइम-ऑफ-चेक-टू-टाइम-ऑफ-यूज बग
 * साइड-चैनल हमला
 * समय हमला
 * उपयोगकर्ता इंटरफ़ेस विफल, जैसे:
 * पीड़ित पर दोषारोपण उपयोगकर्ता को उत्तर देने के लिए पर्याप्त जानकारी दिए बिना उपयोगकर्ता को सुरक्षा निर्णय लेने के लिए प्रेरित करना
 * दौड़ की स्थिति
 * चेतावनी थकान या उपयोगकर्ता कंडीशनिंग।

कोडिंग दिशानिर्देशों के कुछ सेट विकसित किए गए हैं और स्थैतिक कोड विश्लेषण के लिए उपकरणों की एक बड़ी सूची का उपयोग यह सत्यापित करने के लिए किया गया है कि कोड दिशानिर्देशों का पालन करता है।

यह भी देखें

 * ब्राउज़र सुरक्षा
 * कंप्यूटर आपातकालीन प्रतिक्रिया टीम
 * सूचना सुरक्षा
 * इंटरनेट सुरक्षा
 * मोबाइल सुरक्षा
 * भेद्यता स्कैनर
 * समन्वित भेद्यता प्रकटीकरण
 * पूर्ण प्रकटीकरण (कंप्यूटर सुरक्षा)

इस पेज में लापता आंतरिक लिंक की सूची

 * धमकी अभिनेता
 * जीरो-डे अटैक
 * राष्ट्रीय सुरक्षा प्रणालियों पर समिति
 * द ओपन ग्रुप
 * खतरा (कंप्यूटर)
 * सीआईए तिकड़ी
 * प्रत्युपाय (कंप्यूटर)
 * फ़ाइल सिस्टम अनुमतियाँ
 * पासवर्ड क्षमता
 * सफेद टोपी (कंप्यूटर सुरक्षा)
 * सूचना प्रौद्योगिकी सुरक्षा लेखा परीक्षा
 * इसे दांव पर लगाओ
 * हमला (कंप्यूटिंग)
 * शारीरिक सुरक्षा
 * अतिक्रमण संसूचन प्रणाली
 * सामान्य कमजोरियाँ और जोखिम
 * कॉमन प्लेटफॉर्म एन्यूमरेशन
 * मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
 * सामान्य कमजोरियों की गणना
 * समय पर हमला
 * आंकड़ा मान्यीकरण
 * भ्रमित डिप्टी समस्या
 * पीड़ित आरोप
 * लटकता हुआ सूचक
 * सिमलिंक रेस
 * प्रारूप स्ट्रिंग हमला
 * क्रॉस साइट अनुरोध जालसाजी
 * प्रयोक्ता इंटरफ़ेस
 * स्थैतिक कोड विश्लेषण के लिए उपकरणों की सूची

बाहरी संबंध

 * Security advisories links from the Open Directory http://dmoz-odp.org/Computers/Security/Advisories_and_Patches/
 * Security advisories links from the Open Directory http://dmoz-odp.org/Computers/Security/Advisories_and_Patches/