漏洞管理

漏洞管理是針對電腦漏洞所進行「週期性的識別漏洞、進行分類、決定優先級、進行補救措施及緩解措施」的流程^[1]。漏洞管理是電腦安全及網路安全的重點內容，和針對一般系統的漏洞評估（英语：vulnerability assessment）不同^[2]。

發現漏洞的方式很多，漏洞掃描器可以分析電腦系統，尋找已知的漏洞^[3]，像是open port（英语：open port）、不安全的軟體組態、可能被惡意軟體入侵的系統。也可以用比對公開來源（例如NVD），或是訂閱商業版的漏洞警告服務來找出漏洞。模糊測試（fuzz testing）可以用來尋找未知的漏洞（例如零日攻擊）^[3]，也可以用相關的測試用例找出特定的漏洞（例如緩衝區溢出），這類分析也可以用自動化測試來進行。此外，有啟發式演算法的防毒軟體，根據可疑的軟體行為（例如覆寫系統文件）來找未公開的惡意軟體。

有很多不同的漏洞矯正措施，包括了安裝修補程式、改變網路安全政策、重新配置軟體，或是教育用戶防範社交工程。

專案漏洞管理

專案漏洞管理是指專案容易受到負面事件影響的特性，對其影響的分析，以及專案可以克服負面事件的能力^[4]。按照Systems Thinking的觀點，專案漏洞管理會用全面性的觀點，進行以下的流程：

專案漏洞識別。
漏洞分析。
漏洞響應計劃。
漏洞控制：包括對策實施、監控、控管以及經驗傳承。

在此模型下，透過以下的層面來克服負面事件

抵抗（resistance）：靜態層面，是指可以承受立即損害的能力。
韌性（resilience）：動態層面，是指可以在一段時間後恢復的能力。

系统冗余是在漏洞管理上，可以提昇抵抗及韌性的特殊作法^[5]。

反脆弱（英语：Antifragility）（Antifragility）是納西姆·尼可拉斯·塔雷伯提出的概念，敘述系統不但可以抵抗負面事件，或是具有恢復的韌性，而且系統可以因為負面事件而進步。反脆弱類似Stefan Morcov所提出專案複雜度中的積極複雜性（positive complexity）。

參考資料

^ Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5
^ Walkowski, Michał; Oko, Jacek; Sujecki, Sławomir. Vulnerability Management Models Using a Common Vulnerability Scoring System. Applied Sciences. 19 September 2021, 11 (18): 8735. doi:10.3390/app11188735 .
^ ^3.0 ^3.1 Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 [1] （页面存档备份，存于互联网档案馆）.
^ Marle, Franck; Vidal, Ludovic‐Alexandre. Managing Complex, High Risk Projects - A Guide to Basic and Advanced Project Management. London: Springer-Verlag. 2016.
^ Nassim N. Taleb, Daniel G. Goldstein. The Six Mistakes Executives Make in Risk Management. Harvard Business Review. 2009-10-01 [2021-12-13]. ISSN 0017-8012. （原始内容存档于2023-07-21）.