भेद्यता (कंप्यूटिंग)

भेद्यता एक कंप्यूटर प्रणाली की त्रुटियां हैं जो डिवाइस/प्रणाली की समग्र सुरक्षा को कमजोर करती हैं। भेद्यता या तो हार्डवेयर में या हार्डवेयर पर चलने वाले सॉफ़्टवेयर में भेद्यता हो सकती है। एक कंप्यूटर प्रणाली के भीतर विशेषाधिकार सीमाओं को पार करने (अर्थात अनधिकृत कार्यों को करने) के लिए आक्रमण कर्ता जैसे डराने वाले अभिनेता द्वारा भेद्यता शोषण (कंप्यूटर सुरक्षा) हो सकती है। भेद्यता का लाभ उठाने के लिए, एक आक्रमण कर्ता के समीप कम से कम एक लागू उपकरण या तकनीक होनी चाहिए जो प्रणाली की कमजोरी से जुड़ सके। इस फ्रेम में, भेद्यताओं को आक्रमण की सतह के रूप में भी जाना जाता है।

भेद्यता प्रबंधन एक चक्रीय क्रिया है जो सिद्धांत में भिन्न होता है परन्तु इसमें सामान्य प्रक्रियाएं सम्मिलित होती हैं जिनमें सम्मिलित हैं: सभी संपत्तियों की खोज करें, संपत्तियों को प्राथमिकता दें, मूल्यांकन करें या पूर्ण भेद्यता स्कैन करें, परिणामों पर विवरण दे, भेद्यताओं को दूर करें, उपचार को सत्यापित करें - दोहराएँ। यह क्रिया सामान्यतः कंप्यूटिंग प्रणाली में सॉफ़्टवेयर भेद्यता को संदर्भित करती है। सक्रिय भेद्यता प्रबंधन का तात्पर्य सभी भेद्यताओं की जल्द से जल्द पहचान करके आक्रमण को रोकना है। एक सुरक्षा जोखिम को सदैव गलत विधि से भेद्यता के रूप में वर्गीकृत किया जाता है। जोखिम के समान अर्थ के साथ भेद्यता का उपयोग भ्रम उत्पन्न कर सकता है। जोखिम एक भेद्यता के शोषण से उत्पन्न एक महत्वपूर्ण प्रभाव की संभावना है। फिर जोखिम के बिना भेद्यताएं हैं: उदाहरण के लिए जब प्रभावित संपत्ति (कंप्यूटिंग) का कोई मूल्य नहीं है। काम करने और पूरी तरह से कार्यान्वित आक्रमण के एक या अधिक ज्ञात उदाहरणों के साथ भेद्यता को शोषण योग्य भेद्यता के रूप में वर्गीकृत किया गया है - एक भेद्यता जिसके लिए एक शोषण (कंप्यूटर सुरक्षा) स्थित है। भेद्यता की खिड़की वह समय है जब सुरक्षा छिद्र प्रस्तावित किया गया था या नियुक्त सॉफ़्टवेयर में प्रकट हुआ था, जब पहुंच हटा दी गई थी, एक सुरक्षा निर्धारित उपलब्ध/नियुक्त किया गया था, या आक्रमण कर्ता अक्षम था-शून्य-दिन का आक्रमण देखें।

सुरक्षा बग (सुरक्षा दोष) एक संकुचित अवधारणा है। ऐसी भेद्यताएँ हैं जो सॉफ़्टवेयर से संबंधित नहीं हैं: कंप्यूटर धातु सामग्री, साइट, कार्मिक भेद्यताएँ भेद्यता के उदाहरण हैं जो सॉफ़्टवेयर सुरक्षा बग नहीं हैं।

कंप्यूटर भाषा में निर्माण जो ठीक से उपयोग करने में कठिन हैं, बड़ी संख्या में भेद्यताओं को प्रकट कर सकते हैं।

परिभाषाएँ
मानकीकरण के लिए अंतर्राष्ट्रीय संगठन ISO/IEC 27005 भेद्यता को इस प्रकार परिभाषित करता है: : एक संपत्ति या संपत्ति के समूह की एक कमजोरी जिसका एक या अधिक खतरों से लाभ उठाया जा सकता है, जहां एक संपत्ति कुछ भी है जो संगठन के लिए मूल्यवान है, इसके व्यवसाय संचालन और उनकी निरंतरता, जिसमें सूचना संसाधन सम्मिलित हैं जो संगठन के मिशन का समर्थन करते हैं

IETF RFC 4949 भेद्यता के रूप में:
 * प्रणाली के डिजाइन, कार्यान्वयन, या संचालन और प्रबंधन में दोष या कमजोरी जिसका प्रणाली की सुरक्षा नीति का उल्लंघन करने के लिए शोषण किया जा सकता है

संयुक्त राज्य अमेरिका की राष्ट्रीय सुरक्षा प्रणालियों की समिति ने CNSS निर्देश संख्या 4009 दिनांक 26 अप्रैल 2010 राष्ट्रीय सूचना आश्वासन शब्दावली में 'भेद्यता' को परिभाषित किया:
 * भेद्यता - एक सूचना प्रणाली, प्रणाली सुरक्षा प्रक्रियाओं, आंतरिक नियंत्रण, या कार्यान्वयन में कमजोरी जिसका किसी भय के स्रोत द्वारा लाभ उठाया जा सकता है।

कई NIST प्रकाशन विभिन्न प्रकाशनों में IT संदर्भ में 'भेद्यता' को परिभाषित करते हैं: FISMAपीडिया पद एक सूची प्रदान करें। उनके बीच SP 800-30, एक विस्तृत दें:
 * प्रणाली सुरक्षा प्रक्रियाओं, डिज़ाइन, कार्यान्वयन, या आंतरिक नियंत्रणों में एक दोष या कमजोरी जिसका प्रयोग किया जा सकता है (गलती से प्रवर्तित या अभिप्रायपूर्वक शोषण) और जिसके परिणामस्वरूप सुरक्षा उल्लंघन या प्रणाली की सुरक्षा नीति का उल्लंघन होता है।

ENISA 'भेद्यता' को इस प्रकार परिभाषित करता है :
 * एक कमजोरी, डिजाइन, या कार्यान्वयन त्रुटि का अस्तित्व जो कंप्यूटर प्रणाली, नेटवर्क, एप्लिकेशन, या प्रोटोकॉल की सुरक्षा से समझौता करने वाली एक अप्रत्याशित, अवांछनीय घटना [G.11] का कारण बन सकता है। (ITSEC)

खुला समूह 'भेद्यता' को इस रूप में परिभाषित करता है
 * संभावना है कि खतरे की क्षमता खतरे का विरोध करने की क्षमता से अधिक है।

सूचना जोखिम का कारक विश्लेषण (FAIR) 'भेद्यता' को इस प्रकार परिभाषित करता है:
 * संभावना है कि एक संपत्ति खतरे के एजेंट के कार्यों का विरोध करने में असमर्थ होगी

FAIR के अनुसार भेद्यता नियंत्रण शक्ति से संबंधित है, अर्थात बल के एक मानक माप और खतरे (कंप्यूटर) क्षमताओं की तुलना में नियंत्रण की शक्ति, अर्थात बल का संभावित स्तर जो एक खतरे का एजेंट किसी संपत्ति के विरुद्ध आवेदन करने में सक्षम है।

ISACA रिस्क इट फ्रेमवर्क में 'भेद्यता' को इस प्रकार परिभाषित करता है:
 * डिजाइन, कार्यान्वयन, संचालन या आंतरिक नियंत्रण में कमजोरी

डेटा और कंप्यूटर सुरक्षा: मानकों की अवधारणाओं का शब्दकोश और निबंधन, लेखक डेनिस लॉन्गले और माइकल शेन, स्टॉकटन प्रेस, ISBN 0-935859-17-9 भेद्यता को इस प्रकार परिभाषित करता है:
 * 1) कंप्यूटर सुरक्षा में, स्वचालित प्रणाली सुरक्षा प्रक्रियाओं, प्रशासनिक नियंत्रण, इंटरनेट नियंत्रण आदि में एक कमजोरी, जिसका उपयोग सूचना तक अनधिकृत पहुंच प्राप्त करने या महत्वपूर्ण प्रसंस्करण को बाधित करने के खतरे से किया जा सकता है। 2) कंप्यूटर सुरक्षा में, भौतिक विन्यास, संगठन, प्रक्रियाओं, कर्मियों, प्रबंधन, प्रशासन, हार्डवेयर या सॉफ़्टवेयर में कमजोरी जिसका उपयोग ADP प्रणाली या गतिविधि को हानि पहुँचाने के लिए किया जा सकता है। 3) कंप्यूटर सुरक्षा में, प्रणाली में स्थित कोई कमजोरी या दोष। आक्रमण या हानिकारक घटना, या उस आक्रमण को परिणाम देने के लिए खतरे के एजेंट के लिए उपलब्ध अवसर।

मैट बिशप और डेव बेली कंप्यूटर भेद्यता की की निम्नलिखित परिभाषा देते हैं:
 * कंप्यूटर प्रणाली कंप्यूटर प्रणाली बनाने वाली संस्थाओं की वर्तमान विन्यास का वर्णन करने वाले अवस्था से बना है। प्रणाली अवस्था संक्रमणों के अनुप्रयोग के माध्यम से गणना करता है जो प्रणाली की स्थिति को बदलते हैं। सुरक्षा नीति द्वारा परिभाषित अवस्था संक्रमणों के एक समूह का उपयोग करके किसी दिए गए प्रारंभिक अवस्था से पहुंचने योग्य सभी अवस्था अधिकृत या अनधिकृत वर्ग में आते हैं। इस लेख्य में, इन वर्गों और संक्रमणों की परिभाषाओं को स्वयंसिद्ध माना जाता है। एक असुरक्षित अवस्था एक अधिकृत अवस्था है जिससे अधिकृत अवस्था संक्रमणों का उपयोग करके एक अनधिकृत अवस्था तक पहुँचा जा सकता है। एक समझौता अवस्था इस तरह पहुंचा अवस्था है। एक आक्रमण अधिकृत अवस्था संक्रमणों का एक क्रम है जो एक समझौता स्थिति में समाप्त होता है। परिभाषा के अनुसार, आक्रमण भेद्यता अवस्था में शुरू होता है। भेद्यता एक भेद्यता स्थिति का एक लक्षण है जो इसे सभी गैर-संवेदनशील अवस्था से अलग करती है। यदि सामान्य है, भेद्यता कई भेद्यता  अवस्था की विशेषता हो सकती है; यदि विशिष्ट है, तो यह केवल एक की विशेषता हो सकती है...

राष्ट्रीय सूचना आश्वासन प्रशिक्षण और शिक्षा केंद्र भेद्यता को परिभाषित करता है:
 * स्वचालित प्रणाली सुरक्षा प्रक्रियाओं, प्रशासनिक नियंत्रणों, आंतरिक नियंत्रणों और अन्य में एक कमजोरी, जिसका उपयोग सूचना तक अनधिकृत पहुंच प्राप्त करने या महत्वपूर्ण प्रसंस्करण को बाधित करने के खतरे से किया जा सकता है। 2. प्रणाली सुरक्षा प्रक्रियाओं, हार्डवेयर डिज़ाइन, आंतरिक नियंत्रण आदि में एक कमजोरी, जिसका लाभ गोपनीय या संवेदनशील सूचना तक अनधिकृत पहुँच प्राप्त करने के लिए उठाया जा सकता है। 3. भौतिक विन्यास, संगठन, प्रक्रियाओं, कर्मियों, प्रबंधन, प्रशासन, हार्डवेयर, या सॉफ़्टवेयर में कमजोरी जिसका उपयोग ADP प्रणाली या गतिविधि को हानि पहुँचाने के लिए किया जा सकता है। भेद्यता की उपस्थिति अपने आप में हानि नहीं पहुँचाती है; एक भेद्यता केवल एक स्थिति या स्थितियों का समूह है जो ADP प्रणाली या गतिविधि को किसी आक्रमण से हानि पहुँचा सकती है। 4. मुख्य रूप से आंतरिक वातावरण (संपत्ति) की संस्थाओं से संबंधित एक अभिकथन; हम कहते हैं कि एक संपत्ति (या संपत्ति का वर्ग) भेद्यता है (किसी तरह से, संभवतः एक एजेंट या एजेंटों का संग्रह सम्मिलित है); हम लिखते हैं: V (i,e) जहां: e एक रिक्त समुच्चय हो सकता है। 5. विभिन्न खतरों के प्रति संवेदनशीलता। 6. एक विशिष्ट आंतरिक इकाई के गुणों का एक समूह, जो एक विशिष्ट बाहरी इकाई के गुणों के एक समूह के साथ मिलकर एक जोखिम का तात्पर्य है। 7. एक प्रणाली की विशेषताएं जो इसे एक अप्राकृतिक (मानव निर्मित) शत्रुतापूर्ण वातावरण में एक निश्चित स्तर के प्रभावों के अधीन होने के परिणामस्वरूप एक निश्चित गिरावट (निर्दिष्ट मिशन को करने में असमर्थता) का कारण बनती हैं।

भेद्यता और जोखिम कारक मॉडल
एक संसाधन (भौतिक या तार्किक) में एक या अधिक भेद्यताएं हो सकती हैं जिनका एक खतरे वाले अभिनेता द्वारा शोषण किया जा सकता है। परिणाम संभावित रूप से एक संगठन और/या अन्य सम्मिलित दलों (ग्राहकों, आपूर्तिकर्ताओं) से संबंधित संसाधनों की गोपनीयता, अखंडता या संसाधनों की उपलब्धता (आवश्यक रूप से कमजोर नहीं) से समझौता कर सकते हैं। तथाकथित CIA तिकड़ी सूचना सुरक्षा की आधारशिला है।

एक आक्रमण सक्रिय हो सकता है जब यह प्रणाली संसाधनों को बदलने का प्रयास करता है या उनके संचालन को प्रभावित करता है, अखंडता या उपलब्धता से समझौता करता है। एक निष्क्रिय आक्रमण प्रणाली से सूचना सीखने या उपयोग करने का प्रयास करता है परन्तु गोपनीयता से समझौता करते हुए प्रणाली संसाधनों को प्रभावित नहीं करता है।

OWASP (आकृति देखें) एक ही घटना को थोड़े अलग शब्दों में प्रदर्शित करता है: एक आक्रमण के सदिश के माध्यम से एक खतरा एजेंट प्रणाली की कमजोरी (भेद्यता) और संबंधित सुरक्षा नियंत्रणों का शोषण करता है, व्यावसायिक प्रभाव से जुड़े IT संसाधन (परिसंपत्ति) पर तकनीकी प्रभाव उत्पन्न करना।

समग्र चित्र जोखिम परिदृश्य के जोखिम कारक (कंप्यूटिंग) को प्रदर्शित करता है।

सूचना सुरक्षा प्रबंधन प्रणाली
सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) से संबंधित नीतियों का एक समूह, जोखिम प्रबंधन सिद्धांतों के अनुसार प्रबंधन के लिए विकसित किया गया है, यह सुनिश्चित करने के लिए प्रतिउपाय (कंप्यूटर) एक सुरक्षा रणनीति सुनिश्चित करने के लिए किसी दिए गए संगठन के लिए लागू नियमों और विनियमों का पालन करता है।. इन प्रत्युपायों को सुरक्षा नियंत्रण भी कहा जाता है, परन्तु जब सूचना के प्रसारण के लिए लागू किया जाता है, तो उन्हें सुरक्षा सेवा (दूरसंचार) कहा जाता है।

वर्गीकरण
भेद्यताओं को उस परिसंपत्ति वर्ग के अनुसार वर्गीकृत किया जाता है जिससे वे संबंधित हैं:
 * हार्डवेयर
 * नमी या धूल के प्रति संवेदनशीलता
 * असुरक्षित भंडारण के लिए संवेदनशीलता
 * आयु-आधारित पहनावा जो असफलता का कारण बनता है
 * अधिक गरम करना
 * सॉफ़्टवेयर
 * अपर्याप्त परीक्षण
 * असुरक्षित कोडिंग
 * लेखापरीक्षा की कमी
 * रचनात्मक गलती
 * नेटवर्क
 * असुरक्षित संचार लाइनें (जैसे कूटलेखन की कमी)
 * असुरक्षित नेटवर्क वास्तु-कला
 * कार्मिक
 * अपर्याप्त भर्ती प्रक्रिया
 * अपर्याप्त सुरक्षा जागरूकता
 * अंदरूनी खतरा
 * भौतिक स्थल
 * प्राकृतिक आपदाओं के अधीन क्षेत्र (जैसे बाढ़, भूकंप)
 * शक्ति स्रोत में रुकावट
 * संगठनात्मक
 * नियमित अंकेक्षणो की कमी
 * निरंतरता योजनाओं की कमी
 * सुरक्षा की कमी

कारण
शोध से पता चला है कि अधिकांश सूचना प्रणालियों में सबसे कमजोर बिंदु मानव उपयोगकर्ता, संचालक, डिजाइनर या अन्य मानव हैं: इसलिए मनुष्यों को उनकी विभिन्न भूमिकाओं में संपत्ति, खतरे, सूचना संसाधनों के रूप में माना जाना चाहिए। सामाजिक अभियांत्रिकी (सुरक्षा) एक बढ़ती हुई सुरक्षा चिंता है।
 * जटिलता: बड़ी, जटिल प्रणालियाँ कमियों और अनपेक्षित फ़ाइल प्रणाली अनुमतियों की संभावना को बढ़ाती हैं।
 * सुपरिचय: सामान्य, प्रसिद्ध कोड, सॉफ़्टवेयर, संचालन प्रणाली और/या हार्डवेयर का उपयोग करने से इस बात की संभावना बढ़ जाती है कि आक्रमण कर्ता के समीप दोष का लाभ उठाने के लिए ज्ञान और उपकरण हैं या वह उसे ढूंढ सकता है।
 * कनेक्टिविटी: अधिक भौतिक संपर्क, विशेषाधिकार, बंदरगाह, प्रोटोकॉल, और सेवाएं और उनमें से प्रत्येक का समय भेद्यता को बढ़ाता है।
 * पासवर्ड प्रबंधन दोष: कंप्यूटर उपयोगकर्ता कमजोर पासवर्ड का उपयोग करता है जिसे कठोर बल द्वारा खोजा जा सकता है। कंप्यूटर उपयोगकर्ता कंप्यूटर पर पासवर्ड संग्रहीत करता है जहां योजना इसे खोल सकता है। उपयोगकर्ता कई कार्यक्रमों और वेबसाइटों के बीच पासवर्ड का पुन: उपयोग करते हैं।
 * मौलिक संचालन प्रणाली डिज़ाइन दोष: संचालन प्रणाली डिज़ाइनर उपयोगकर्ता/योजना प्रबंधन पर उप-इष्टतम नीतियों को प्रयुक्त करना चुनता है। उदाहरण के लिए, डिफ़ॉल्ट परमिट जैसी नीतियों के साथ संचालन प्रणाली प्रत्येक योजना और प्रत्येक उपयोगकर्ता को संपूर्ण कंप्यूटर तक पूर्ण पहुंच प्रदान करते हैं। यह संचालन प्रणाली दोष वायरस और मैलवेयर को प्रशासक की ओर से आदेश निष्पादित करने की अनुमति देता है।
 * इंटरनेट वेबसाइट ब्राउजिंग: कुछ इंटरनेट वेबसाइटों में हानिकारक स्पाइवेयर या एडवेयर हो सकते हैं जो कंप्यूटर प्रणाली पर स्वचालित रूप से स्थापित हो सकते हैं। उन वेबसाइटों पर जाने के बाद, कंप्यूटर प्रणाली संक्रमित हो जाते हैं और व्यक्तिगत सूचना एकत्र की जाएगी और तीसरे पक्ष के व्यक्तियों को दी जाएगी।
 * सॉफ्टवेयर बग: प्रोग्रामर एक सॉफ्टवेयर योजना में शोषक बग छोड़ देता है। सॉफ़्टवेयर बग एक आक्रमण कर्ता को किसी एप्लिकेशन का दुरुपयोग करने की अनुमति दे सकता है।
 * अनियंत्रित उपयोगकर्ता इनपुट: कार्यक्रम मानता है कि सभी उपयोगकर्ता इनपुट सुरक्षित हैं। योजना जो उपयोगकर्ता इनपुट की जांच नहीं करते हैं, आदेश या SQL विवरण के अनपेक्षित प्रत्यक्ष निष्पादन की अनुमति दे सकते हैं (बफ़र ओवरफ़्लोस, SQL इंजेक्शन या अन्य गैर-मान्य इनपुट के रूप में जाना जाता है)।
 * पिछली गलतियों से सीख नहीं लेना: उदाहरण के लिए IPv4 प्रोटोकॉल सॉफ़्टवेयर में खोजी गई अधिकांश भेद्यताएँ नए IPv6 कार्यान्वयन में खोजी गई थीं।

परिणाम
सुरक्षा अतिक्रमण का प्रभाव बहुत अधिक हो सकता है। अधिकांश कानून IT प्रबंधकों की IT प्रणालियों और अनुप्रयोगों की भेद्यताओं को दूर करने में विफलता को देखते हैं यदि उन्हें कदाचार के रूप में जाना जाता है; IT प्रबंधकों के समीप IT जोखिम का प्रबंधन करने की दायित्व है। गोपनीयता कानून प्रबंधकों को उस सुरक्षा जोखिम के प्रभाव या संभावना को कम करने के लिए कार्य करने के लिए बाध्य करता है। सूचना प्रौद्योगिकी सुरक्षा अंकेक्षण अन्य स्वतंत्र लोगों को यह प्रमाणित करने का एक विधि है कि IT वातावरण ठीक से प्रबंधित किया जाता है और जिम्मेदारियों को कम करता है, कम से कम अच्छा विश्वास प्रदर्शित करता है। प्रवेश परीक्षा एक संगठन द्वारा अपनाई गई कमजोरी और प्रत्युपायों के सत्यापन का एक रूप है: एक व्हाइट हैट (कंप्यूटर सुरक्षा) हैकर किसी संगठन की सूचना प्रौद्योगिकी संपत्ति पर आक्रमण करने की प्रयास करता है, यह पता लगाने के लिए कि IT सुरक्षा से समझौता करना कितना आसान या कठिन है। IT जोखिम को व्यावसायिक रूप से प्रबंधित करने का उचित विधि सूचना सुरक्षा प्रबंधन प्रणाली, जैसे कि ISO/IEC 27002 या जोखिम IT को अपनाना और उच्च प्रबंधन द्वारा निर्धारित सुरक्षा रणनीति के अनुसार उनका पालन करना है।

सूचना सुरक्षा की प्रमुख अवधारणाओं में से एक डिफेन्स इन डेप्थ का सिद्धांत है, अर्थात एक बहुपरत रक्षा प्रणाली स्थापित करना जो:

हैकर का पता लगाने वाली प्रणाली आक्रमण (कंप्यूटिंग) का पता लगाने के लिए इस्तेमाल की जाने वाली प्रणालियों के एक वर्ग का एक उदाहरण है।
 * शोषण को रोकें
 * आक्रमण का पता लगाएं और रोकें
 * धमकी देने वाले एजेंटों का पता लगाएं और उन पर मुकदमा चलाएं

भौतिक सुरक्षा एक सूचना संपत्ति की भौतिक सुरक्षा के उपायों का एक समूह है: यदि कोई सूचना संपत्ति तक भौतिक पहुंच प्राप्त कर सकता है, तो यह व्यापक रूप से स्वीकार किया जाता है कि एक आक्रमण कर्ता उस पर किसी भी सूचना तक पहुंच सकता है या संसाधन को उसके वैध उपयोगकर्ताओं के लिए अनुपलब्ध बना सकता है।

एक कंप्यूटर, इसके संचालन प्रणाली और एक अच्छे सुरक्षा स्तर को पूरा करने के लिए अनुप्रयोगों को पूरा करने के लिए मानदंडों के कुछ समूह विकसित किए गए हैं: ITSEC और सामान्य मानदंड दो उदाहरण हैं।

भेद्यता प्रकटीकरण
समन्वित प्रकटीकरण (कुछ इसे 'जिम्मेदार प्रकटीकरण' के रूप में संदर्भित करते हैं परन्तु इसे दूसरों द्वारा पक्षपातपूर्ण शब्द माना जाता है) भेद्यताओं का एक बड़ा तर्क का विषय है। जैसा कि अगस्त 2010 में द टेक हेराल्ड द्वारा रिपोर्ट किया गया था, गूगल, माइक्रोसॉफ्ट, टिप्पिंगपॉइन्ट और रैपिडेड7 ने दिशा-निर्देश और वर्णन जारी किए हैं कि वे आगे चलकर प्रकटीकरण से कैसे निपटेंगे। अन्य विधि सामान्यतः पर पूर्ण प्रकटीकरण (कंप्यूटर सुरक्षा) है, जब भेद्यता के सभी विवरणों को प्रचारित किया जाता है, कभी-कभी सॉफ़्टवेयर लेखक पर अधिक तेज़ी से सुधार प्रकाशित करने के लिए नियंत्रण के अभिप्राय से। जनवरी 2014 में जब माइक्रोसॉफ्ट ने इसे ठीक करने के लिए एक खंड जारी करने से पहले माइक्रोसॉफ्ट भेद्यता का विस्तृत किया, तो एक माइक्रोसॉफ्ट प्रतिनिधि ने प्रकटीकरण प्रकट करने में सॉफ़्टवेयर कंपनियों के बीच समन्वित क्रियाओं का आह्वान किया।

भेद्यता सूची
मेटर निगम सामान्य भेद्यताओं और निवेश जोखिम नामक प्रणाली में सार्वजनिक रूप से प्रकट भेद्यताओं की एक अधूरी सूची रखता है। यह सूचना तुरंत राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) के साथ साझा की जाती है, जहाँ प्रत्येक भेद्यता को सामान्य भेद्यता स्कोरिंग प्रणाली (CVSS), सामान्य प्लेटफ़ॉर्म गणना (CPE) योजना और सामान्य भेद्यता गणना का उपयोग करके एक जोखिम स्कोर दिया जाता है।

क्लाउड कम्प्यूटिंग सदैव सामान्य भेद्यता और जोखिम प्रणाली का उपयोग करके अपनी सेवाओं में सुरक्षा समस्याओं को सूचीबद्ध नहीं करते हैं। क्लाउड कम्प्यूटिंग भेद्यता गणना, गंभीरता मूल्यांकन और कोई एकीकृत ट्रैकिंग तंत्र के लिए वर्तमान में कोई सार्वभौमिक मानक नहीं है। ओपन CVDB पहल एक समुदाय-संचालित केंद्रीकृत क्लाउड भेद्यता डेटाबेस है जो CSP भेद्यताओं को सूचीबद्ध करता है, और उन चरणों को सूचीबद्ध करता है जो उपयोगकर्ता अपने स्वयं के वातावरण में इन उद्देश्यों का पता लगाने या उन्हें रोकने के लिए उठा सकते हैं।

OWASP प्रणाली डिज़ाइनरों और प्रोग्रामर को शिक्षित करने के उद्देश्य से भेद्यता वर्गों की एक सूची रखता है, इसलिए सॉफ़्टवेयर में अनजाने में लिखी गई भेद्यताओं की संभावना को कम करता है।

भेद्यता प्रकटीकरण तिथि
भेद्यता के प्रकटीकरण का समय सुरक्षा समुदाय और उद्योग में अलग तरह से परिभाषित किया गया है। इसे सामान्यतः एक निश्चित पार्टी द्वारा सुरक्षा सूचना के एक प्रकार के सार्वजनिक प्रकटीकरण के रूप में संदर्भित किया जाता है। सामान्यतः, भेद्यता की सूचना पर डाक सूची पर वर्णन किया जाता है या सुरक्षा वेब साइट पर प्रकाशित की जाती है और इसके परिणामस्वरूप सुरक्षा राय दी जाती है।

प्रकटीकरण का समय पहली तारीख है जब किसी चैनल पर सुरक्षा भेद्यता का वर्णन किया जाता है, जहां भेद्यता पर प्रकट की गई सूचना को निम्नलिखित आवश्यकता को पूरा करना होता है:


 * सूचना जनता के लिए स्वतंत्र रूप से उपलब्ध है
 * भेद्यता की सूचना एक विश्वसनीय और स्वतंत्र चैनल/स्रोत द्वारा प्रकाशित की जाती है
 * भेद्यता का विशेषज्ञों द्वारा विश्लेषण किया गया है जैसे कि प्रकटीकरण पर जोखिम रेटिंग सूचना सम्मिलित है

भेद्यताओं की पहचान करना और उन्हें दूर करना

कई सॉफ्टवेयर उपकरण स्थित हैं जो कंप्यूटर प्रणाली में भेद्यताओं की खोज (और कभी-कभी हटाने) में सहायता कर सकते हैं। यद्यपि ये उपकरण अंकेक्षणर को स्थित संभावित भेद्यताओं का एक अच्छा अवलोकन प्रदान कर सकते हैं, परन्तु वे मानवीय निर्णय को प्रतिस्थापित नहीं कर सकते हैं। पूरी तरह से स्कैनर पर निर्भर रहने से प्रणाली में स्थित समस्याओं के बारे में झूठी सकारात्मकता और सीमित दायरे का दृश्य मिलेगा।

माइक्रोसॉफ्ट विंडोज, मैकOS, युनिक्स और लिनक्स के विभिन्न रूपों, ओपनVMS, और अन्य सहित प्रत्येक प्रमुख संचालन प्रणाली में भेद्यताएं पाई गई हैं । किसी प्रणाली के विरुद्ध उपयोग की जा रही भेद्यता की संभावना को कम करने का एकमात्र विधि निरंतर सतर्कता के माध्यम से है, जिसमें सावधानीपूर्वक प्रणाली रखरखाव (जैसे सॉफ़्टवेयर खंड प्रयुक्त करना), परिनियोजन में सर्वोत्तम क्रिया (जैसे फ़ायरवॉल (नेटवर्किंग) और पहुँच नियंत्रण का उपयोग) और अंकेक्षणिंग सम्मिलित है। (दोनों विकास के समय और पूरे परिनियोजन जीवनचक्र के समय)।

वे स्थान जिनमें भेद्यता प्रकट होती है
भेद्यताएं संबंधित हैं और इनमें प्रकट हो सकती हैं: यह स्पष्ट है कि एक शुद्ध तकनीकी दृष्टिकोण सदैव भौतिक संपत्तियों की रक्षा नहीं कर सकता है: रखरखाव कर्मियों को सुविधाओं में प्रवेश करने और प्रक्रियाओं के पर्याप्त ज्ञान वाले लोगों को उचित देखभाल के साथ पालन करने के लिए प्रेरित करने के लिए प्रशासनिक प्रक्रिया होनी चाहिए। यद्यपि, तकनीकी सुरक्षा आवश्यक रूप से सामाजिक अभियांत्रिकी (सुरक्षा) आक्रमण को नहीं रोकती है।
 * प्रणाली का भौतिक वातावरण
 * कार्मिक (अर्थात कर्मचारी, प्रबंधन)
 * प्रशासन प्रक्रियाओं और सुरक्षा नीति
 * व्यापार संचालन और सेवा वितरण
 * परिधीय उपकरणों सहित हार्डवेयर
 * सॉफ्टवेयर (अर्थात परिसर में या क्लाउड में)
 * कनेक्टिविटी (अर्थात संचार उपकरण और सुविधाएं)

भेद्यताओं के उदाहरण:
 * एक आक्रमण कर्ता संवेदनशील डेटा को बाहर निकालने के लिए मैलवेयर स्थापित करने के लिए बफर ओवरफ्लो की कमजोरी को ढूंढता है और उसका उपयोग करता है;
 * एक आक्रमण कर्ता उपयोगकर्ता को संलग्न मैलवेयर के साथ एक ईमेल संदेश खोलने के लिए राजी करता है;
 * बाढ़ भूतल पर स्थापित कंप्यूटर प्रणाली को हानि पहुँचाती है।

सॉफ़्टवेयर भेद्यता
भेद्यताओं की ओर ले जाने वाली सामान्य प्रकार की सॉफ़्टवेयर त्रुटियों में सम्मिलित हैं:
 * स्मृति सुरक्षा उल्लंघन, जैसे:
 * बफर ओवरफ्लो और बफर ओवर-रीड|
 * झूलने वाले संकेत
 * डेटा सत्यापन त्रुटियां, जैसे:
 * कोड इंजेक्शन
 * वेब अनुप्रयोगों में क्रॉस साइट स्क्रिप्टिंग
 * निर्देशिका ट्रैवर्सल
 * ई-मेल इंजेक्शन
 * प्रारूप शृंखला आक्रमण
 * HTTP शीर्ष लेख इंजेक्शन
 * HTTP प्रतिक्रिया विभाजन
 * SQL इंजेक्शन
 * विशेषाधिकार-भ्रम बग, जैसे:
 * क्लिकजैकिंग
 * वेब अनुप्रयोगों में क्रॉस-साइट अनुरोध कूट-रचना
 * FTP उछाल आक्रमण
 * विशेषाधिकार वृद्धि
 * दौड़ की स्थिति, जैसे:
 * सिमलिंक दौड़
 * टाइम-ऑफ-चेक-टू-टाइम-ऑफ-यूज बग
 * साइड-चैनल आक्रमण
 * समय आक्रमण
 * उपयोगकर्ता अंतराफलक विफल, जैसे:
 * पीड़ित पर दोषारोपण उपयोगकर्ता को उत्तर देने के लिए पर्याप्त सूचना दिए बिना उपयोगकर्ता को सुरक्षा निर्णय लेने के लिए प्रेरित करना
 * दौड़ की स्थिति
 * चेतावनी श्रम या उपयोगकर्ता अनुकूलन।

कोडिंग दिशानिर्देशों के कुछ समूह विकसित किए गए हैं और स्थैतिक कोड विश्लेषण के लिए उपकरणों की एक बड़ी सूची का उपयोग यह सत्यापित करने के लिए किया गया है कि कोड दिशानिर्देशों का पालन करता है।

यह भी देखें

 * ब्राउज़र सुरक्षा
 * कंप्यूटर आपातकालीन प्रतिक्रिया समूह
 * सूचना सुरक्षा
 * इंटरनेट सुरक्षा
 * मोबाइल सुरक्षा
 * भेद्यता स्कैनर
 * समन्वित भेद्यता प्रकटीकरण
 * पूर्ण प्रकटीकरण (कंप्यूटर सुरक्षा)

इस पेज में लापता आंतरिक लिंक की सूची

 * धमकी अभिनेता
 * जीरो-डे अटैक
 * राष्ट्रीय सुरक्षा प्रणालियों पर समिति
 * द ओपन ग्रुप
 * खतरा (कंप्यूटर)
 * सीआईए तिकड़ी
 * प्रत्युपाय (कंप्यूटर)
 * फ़ाइल प्रणाली अनुमतियाँ
 * पासवर्ड क्षमता
 * सफेद टोपी (कंप्यूटर सुरक्षा)
 * सूचना प्रौद्योगिकी सुरक्षा लेखा परीक्षा
 * इसे दांव पर लगाओ
 * आक्रमण (कंप्यूटिंग)
 * शारीरिक सुरक्षा
 * अतिक्रमण संसूचन प्रणाली
 * सामान्य कमजोरियाँ और जोखिम
 * कॉमन प्लेटफॉर्म एन्यूमरेशन
 * मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
 * सामान्य भेद्यताओं की गणना
 * समय पर आक्रमण
 * आंकड़ा मान्यीकरण
 * भ्रमित डिप्टी समस्या
 * पीड़ित आरोप
 * लटकता हुआ सूचक
 * सिमलिंक रेस
 * प्रारूप शृंखला आक्रमण
 * क्रॉस साइट अनुरोध जालसाजी
 * प्रयोक्ता इंटरफ़ेस
 * स्थैतिक कोड विश्लेषण के लिए उपकरणों की सूची

बाहरी संबंध

 * Security advisories links from the Open Directory http://dmoz-odp.org/Computers/Security/Advisories_and_Patches/
 * Security advisories links from the Open Directory http://dmoz-odp.org/Computers/Security/Advisories_and_Patches/