Bayangkan kamu sedang membaca berita keamanan siber dan menemukan kalimat seperti ini: “CVE-2026-1234 dengan skor CVSS 9.8 ditemukan di sistem X, terkait dengan CWE-502.” Bagi pemula, deretan kode itu mungkin terlihat seperti bahasa alien. Padahal, kode-kode tersebut sebenarnya adalah “KTP” dari sebuah kerentanan — sistem identifikasi standar global yang digunakan oleh seluruh komunitas keamanan siber di dunia.
CVE, CWE, dan NVD adalah tiga pilar fundamental dalam manajemen kerentanan (vulnerability management). Memahami ketiganya bukan sekadar memperkaya kosakata teknis kamu, melainkan menjadi fondasi penting untuk bisa membaca laporan keamanan, memahami tingkat risiko, dan berkomunikasi secara profesional di dunia cybersecurity.
Menurut Dimas Prasetyo, seorang penetration tester dengan pengalaman 7 tahun menangani assessment keamanan di sektor perbankan Indonesia, “Banyak junior pentester yang langsung lompat ke tool tanpa memahami dulu vulnerability taxonomy. Padahal, kalau kamu nggak paham CVE dan CWE, kamu akan kesulitan saat menulis laporan yang bisa dibaca oleh tim remediation.” Dalam praktiknya, Dimas pernah menangani kasus di mana sebuah critical vulnerability di server klien tidak segera ditindaklanjuti hanya karena tim IT internal tidak memahami arti dari identifier CVE yang ada di laporan audit. “Setelah saya jelaskan dengan bahasa sederhana, baru mereka sadar urgensi-nya,” tambahnya.
Lewat artikel ini, kita akan membongkar satu per satu: apa itu CVE, bagaimana formatnya, apa itu CWE, apa bedanya dengan CVE, dan bagaimana NVD menjadi pusat informasi kerentanan global. Semua dijelaskan dengan bahasa yang mudah dipahami — bahkan untuk kamu yang baru pertama kali mendengar istilah-istilah ini.
Apa Itu CVE? (Common Vulnerabilities and Exposures)
CVE (Common Vulnerabilities and Exposures) adalah sistem identifikasi standar untuk mencatat dan memberi nama unik pada setiap kerentanan keamanan siber yang ditemukan di dunia. Bayangkan CVE seperti nomor NIK di KTP — setiap kerentanan yang teridentifikasi mendapat satu identifier unik yang tidak akan tertukar dengan kerentanan lain.
Sistem CVE dikelola oleh MITRE Corporation, sebuah organisasi nirlaba asal Amerika Serikat yang disponsori oleh Department of Homeland Security (DHS) melalui badan CISA (Cybersecurity and Infrastructure Security Agency). MITRE tidak menemukan kerentanan; mereka bertindak sebagai “pusat registrasi” yang memastikan setiap kerentanan mendapat nomor identitas yang konsisten dan universal.
Prosesnya sederhana: ketika seorang peneliti keamanan, vendor, atau organisasi menemukan sebuah celah keamanan baru, mereka melaporkannya ke salah satu CVE Numbering Authority (CNA). Saat ini terdapat lebih dari 250 CNA di seluruh dunia — mulai dari vendor besar seperti Microsoft, Google, Apple, hingga organisasi keamanan nasional seperti BSSN di Indonesia. CNA bertugas memvalidasi laporan, memberikan nomor CVE, dan mempublikasikan detailnya ke database global.
Menurut data dari CISA Known Exploited Vulnerabilities Catalog, sepanjang tahun 2025 terdapat lebih dari 30.000 CVE baru yang dirilis — angka yang terus meningkat setiap tahunnya. Di Indonesia sendiri, BSSN melalui Id-SIRTII/CC secara aktif memonitor dan menerbitkan alert terkait CVE yang berdampak pada infrastruktur nasional.
Bagaimana Format dan Cara Membaca CVE?
Format CVE sangat sederhana dan konsisten:
CVE-YYYY-NNNNNMari kita bedah komponennya:
- CVE: Prefix standar yang menandakan ini adalah identifier CVE
- YYYY: Tahun saat CVE tersebut pertama kali dilaporkan atau dipublikasikan (contoh: 2026)
- NNNNN: Angka unik dengan minimal 4 digit, bisa lebih jika jumlah CVE di tahun tersebut melebihi 9.999
Contoh nyata yang terkenal:
- CVE-2017-0144 — Kerentanan EternalBlue yang digunakan dalam serangan ransomware WannaCry
- CVE-2021-44228 — Kerentanan Log4Shell di Apache Log4j yang mengguncang dunia keamanan siber
- CVE-2022-22965 — Spring4Shell, kerentanan di framework Spring Java
Setiap entri CVE biasanya dilengkapi dengan informasi minimum berupa: deskripsi singkat kerentanan, daftar produk yang terdampak, referensi ke sumber eksternal (advisory vendor, artikel teknis), dan status publikasi. Informasi ini menjadi “paspor” yang memungkinkan siapapun — dari auditor hingga engineer — untuk langsung memahami apa yang sedang terjadi.
Poin penting yang sering disalahpahami pemula: nomor CVE bukanlah tingkat keparahan. CVE hanyalah identifier. Untuk mengetahui seberapa parah sebuah kerentanan, kamu perlu melihat CVSS Score (Common Vulnerability Scoring System) yang biasanya tersedia di database NVD — topik yang akan kita bahas sebentar lagi.
Apa Itu CWE? (Common Weakness Enumeration)
Kalau CVE adalah “KTP”-nya sebuah kerentanan spesifik, maka CWE (Common Weakness Enumeration) adalah “KTP”-nya kategori kelemahan. CWE mengelompokkan jenis-jenis kelemahan (weakness) yang bisa muncul di software, hardware, atau firmware — terlepas dari produk atau vendor spesifik mana yang terdampak.
Bayangkan begini: CVE adalah “pasien” yang terdiagnosis, sedangkan CWE adalah “jenis penyakit”-nya. Satu jenis penyakit (CWE) bisa menimpa banyak pasien berbeda (CVE). Analogi ini membantu kita memahami bahwa CWE bersifat generik dan klasifikatif, sementara CVE bersifat spesifik dan insidental.
CWE juga dikelola oleh MITRE Corporation dan menjadi standar de facto dalam industri keamanan siber. Daftar CWE saat ini mencakup lebih dari 900 kategori kelemahan yang tersusun rapi dalam hierarki — dari yang paling umum (pillar) hingga yang sangat spesifik (variant).
Beberapa CWE paling terkenal dan sering muncul di dunia nyata:
- CWE-79: Cross-Site Scripting (XSS) — Kelemahan di mana input pengguna tidak divalidasi sehingga penyerang bisa menyisipkan script berbahaya
- CWE-89: SQL Injection — Kelemahan di mana query database bisa dimanipulasi lewat input yang tidak aman
- CWE-352: Cross-Site Request Forgery (CSRF) — Kelemahan yang memungkinkan penyerang melakukan aksi atas nama pengguna yang sah
- CWE-20: Improper Input Validation — Kategori luas tentang validasi input yang tidak memadai
- CWE-287: Improper Authentication — Kelemahan pada mekanisme autentikasi
Yang menarik, CWE menjadi fondasi dari OWASP Top 10 dan CWE Top 25 Most Dangerous Software Weaknesses — dua daftar paling berpengaruh yang digunakan developer dan security engineer di seluruh dunia untuk memprioritaskan perbaikan keamanan. Setiap item di OWASP Top 10 selalu dipetakan (mapped) ke satu atau lebih CWE, sehingga ada kesinambungan antara standar edukasi (OWASP) dengan standar klasifikasi global (CWE).
Apa Perbedaan CVE dan CWE? (Sering Tertukar!)
Ini adalah titik kebingungan paling umum bagi pemula. Mari kita perjelas dengan cara yang mudah diingat:
| Aspek | CVE | CWE |
|---|---|---|
| Definisi | Identifier untuk kerentanan spesifik | Klasifikasi jenis kelemahan |
| Level | Instance / kasus konkret | Kategori / kelas |
| Contoh | CVE-2021-44228 (Log4Shell) | CWE-502 (Deserialization of Untrusted Data) |
| Hubungan | Satu CVE bisa terkait dengan 1+ CWE | Satu CWE bisa mencakup banyak CVE |
| Pertanyaan yang dijawab | “Kerentanan APA yang ada di produk X?” | “JENIS kelemahan apa yang sedang kita hadapi?” |
| Pengguna utama | Semua praktisi keamanan | Developer, arsitek software, pentester |
Mari kita lihat contoh konkret agar makin jelas:
- CVE-2017-5638 (kerentanan di Apache Struts yang dieksploitasi dalam kebocoran data Equifax) → dipetakan ke CWE-20 (Improper Input Validation) dan CWE-917 (Improper Neutralization of Special Elements used in an Expression Language Statement)
- Artinya: “Kerentanan spesifik di Apache Struts” (CVE) disebabkan oleh “kelemahan dalam validasi input” (CWE)
Dengan memahami perbedaan ini, kamu akan jauh lebih mudah membaca laporan keamanan — baik sebagai pembuat laporan (pentester) maupun sebagai penerima laporan (developer, manajer IT).
Apa Itu NVD dan Bagaimana Cara Menggunakannya?
NVD (National Vulnerability Database) adalah database kerentanan terlengkap di dunia, dikelola oleh NIST (National Institute of Standards and Technology), badan pemerintah Amerika Serikat. Kalau CVE adalah “kartu identitas”-nya, maka NVD adalah “kantor catatan sipil”-nya — tempat semua informasi kerentanan dikumpulkan, diperkaya, dan disajikan secara terstruktur.
NVD mengambil setiap CVE yang diterbitkan MITRE, lalu memperkaya entri tersebut dengan informasi tambahan yang sangat berharga:
- CVSS Score — Skor keparahan numerik (0-10) yang menghitung seberapa berbahaya sebuah kerentanan. CVSS 9.0-10.0 = Critical, 7.0-8.9 = High, 4.0-6.9 = Medium, 0.1-3.9 = Low
- CWE Mapping — Pemetaan ke jenis kelemahan CWE yang relevan
- CPE (Common Platform Enumeration) — Daftar spesifik produk dan versi yang terdampak
- Impact Metrics — Dampak terhadap Confidentiality, Integrity, dan Availability (tiga pilar CIA Triad)
- Exploitability Metrics — Seberapa mudah kerentanan bisa dieksploitasi
- References — Link ke vendor advisory, patch, artikel analisis, dan sumber terkait
Cara mengakses NVD sangat mudah — cukup kunjungi nvd.nist.gov dan masukkan nomor CVE yang ingin kamu cari. Untuk penggunaan yang lebih canggih, NVD juga menyediakan REST API yang bisa diintegrasikan ke tools otomatisasi keamanan, SIEM, atau dashboard monitoring.
Contoh query API NVD sederhana menggunakan curl:
curl -s "https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-2021-44228"Response API akan mengembalikan data lengkap termasuk CVSS score, CWE mapping, daftar CPE yang terdampak, dan referensi — semua dalam format JSON yang mudah diproses secara otomatis.
Selain NVD, ada juga beberapa alternatif database kerentanan yang patut kamu ketahui:
- MITRE CVE List (cve.org) — Sumber asli, tapi informasinya lebih minimalis dibanding NVD
- VulDB (vuldb.com) — Database komunitas dengan analisis yang lebih mendalam
- Exploit-DB (exploit-db.com) — Fokus pada exploit code yang sudah tersedia publik
- GitHub Advisory Database — Fokus pada kerentanan open-source
Mengapa Memahami CVE, CWE, dan NVD Itu Penting?
Sekarang setelah kita paham apa itu masing-masing, muncul pertanyaan penting: kenapa ini semua harus dipelajari? Jawabannya: karena ketiga sistem ini adalah bahasa universal dalam keamanan siber — dan kamu tidak bisa berkarir serius di bidang ini tanpa memahaminya.
1. Kemampuan Membaca Laporan Keamanan
Setiap laporan penetration testing, security audit, atau threat intelligence selalu menggunakan CVE dan CWE sebagai referensi. Tanpa pemahaman dasar, kamu akan tersesat di lautan kode dan angka. Kemampuan membaca CVE + CVSS + CWE secara cepat adalah skill fundamental yang membedakan profesional keamanan dari pengguna biasa.
2. Prioritas Perbaikan (Remediation)
Tidak semua kerentanan harus diperbaiki hari ini juga. Dengan memahami CVSS score di NVD, tim IT bisa memprioritaskan: kerentanan Critical (9.0+) harus ditangani dalam 24-48 jam, sementara Low (1.0-3.9) bisa dijadwalkan di patch cycle berikutnya. CWE mapping membantu tim developer memahami akar masalah — bukan sekadar menambal gejala.
3. Komunikasi Profesional
Pernah mendengar istilah “CVE-2021-44228” disebut dalam meeting? Itu adalah cara para profesional keamanan berkomunikasi — presisi, ringkas, dan universal. Dengan memahami sistem ini, kamu bisa berpartisipasi dalam diskusi teknis tanpa perlu penjelasan panjang lebar. Seperti yang diungkapkan Dimas Prasetyo, “Di dunia bug bounty, kalau kamu submit laporan tanpa mapping CWE yang benar, laporanmu bisa ditolak — bahkan sebelum dibaca. Ini adalah standard of professionalism yang wajib dipenuhi.”
4. Kesiapan Sertifikasi
Hampir semua sertifikasi keamanan siber bergengsi — CompTIA Security+, CEH, CISSP, OSCP, GPEN — menguji pemahaman tentang CVE, CWE, CVSS, dan manajemen kerentanan. Ini bukan materi opsional; ini adalah pengetahuan dasar yang diujikan.
Pertanyaan Umum (FAQ)
Apakah setiap kerentanan pasti punya CVE?
Tidak. Hanya kerentanan yang sudah dilaporkan, divalidasi oleh CNA, dan dipublikasikan yang mendapat nomor CVE. Banyak kerentanan — terutama yang ditemukan secara internal oleh vendor — mungkin tidak pernah mendapat CVE publik. Selain itu, ada masa tunggu (embargo period) antara penemuan dan publikasi untuk memberi vendor waktu memperbaiki.
Apa beda CVSS v2, v3, dan v4?
CVSS (Common Vulnerability Scoring System) adalah standar penghitungan skor keparahan yang digunakan NVD. CVSS v2 (rilis 2007) sudah dianggap usang. CVSS v3.1 (rilis 2019) adalah standar yang paling banyak digunakan saat ini, dengan metrik yang lebih detail. CVSS v4 (rilis 2023) adalah versi terbaru dengan penyempurnaan di area environmental metrics dan skenario serangan yang lebih kompleks.
Apakah CVE hanya untuk software?
Tidak. CVE mencakup kerentanan di software, firmware, dan hardware. Contohnya, kerentanan Meltdown dan Spectre (CVE-2017-5753 dan CVE-2017-5715) adalah kerentanan di hardware prosesor, bukan software. Ini menunjukkan bahwa cakupan CVE sangat luas.
Bagaimana cara mencari CWE yang tepat untuk laporan pentest?
Kunjungi situs resmi CWE di cwe.mitre.org dan gunakan fitur pencarian berdasarkan kata kunci. Atau, kamu bisa membaca CWE Top 25 terlebih dahulu — kemungkinan besar kerentanan yang kamu temukan termasuk dalam 25 kategori paling umum tersebut. Tools seperti OWASP ZAP dan Burp Suite juga otomatis memetakan temuan ke CWE yang relevan.
Kesimpulan
CVE, CWE, dan NVD bukan sekadar akronim yang berseliweran di timeline Twitter infosec. Mereka adalah infrastruktur informasi yang membuat seluruh ekosistem keamanan siber global bisa berfungsi — dari peneliti yang menemukan bug, vendor yang merilis patch, hingga perusahaan yang melindungi data pelanggan mereka.
Dengan memahami CVE sebagai identifier spesifik, CWE sebagai klasifikasi kelemahan, dan NVD sebagai pusat informasi yang diperkaya, kamu telah meletakkan batu fondasi penting dalam perjalanan karir keamanan siber kamu. Ini adalah pengetahuan yang akan terus kamu gunakan — setiap hari, di setiap proyek, di setiap diskusi teknis.
Seperti yang ditekankan Dimas Prasetyo di awal, “Pahami dulu taxonomy-nya sebelum lompat ke tool. Itu yang membedakan script kiddie dari profesional sejati.” Dan sekarang, kamu sudah selangkah lebih dekat menjadi yang kedua.
Mulailah dari sekarang: setiap kali kamu membaca berita keamanan dan menemukan nomor CVE, buka NVD, lihat CVSS score-nya, periksa CWE mapping-nya. Dalam waktu singkat, kebiasaan kecil ini akan membangun intuisi teknis yang tajam.