SCAP (Security Content Automation Protocol) SCAP是一个集合了多种公开的安全标准的框架，这些公开的安全标准被称为SCAP Element，SCAP版本1.0包含六个Element：XCCDF、OVAL、CVE、CCE、CPE、CVSS。SCAP包含了Protocol与Content，Protocol规范了Element之间如何协同工作，Content指按照Protocol的约定，利用Element描述的生成应用于实际检查工作的数据，其实体是一个或多个XML文件，一般来说正式发布的SCAP Content至少包含两个XML文件，一个是XCCDF，另一个是OVAL，这些文件能够直接输入到各类安全工具中执行实际的系统扫描。SCAP是当前美国比较成熟的一套信息安全评估标准体系，其标准化、自动化的思想对信息安全行业产生了深远的影响。

XCCDF (Extensible Configuration Checklist Description Format) 是一种用来定义安全检查单、安全基线、以及其他类似文档的一种描述语言。XCCDF使用标准的XML语言格式按照一定的格式对其内容进行描述。

OVAL (Open Vulnerability and Assessment Language) OVAL是一种用来定义检查项、脆弱点等技术细节的种描述语言。其使用了标准的XML格式内容，可以用于分析Windows、Linux等各种操作系统的系统状态、漏洞、配置、补丁等情况，可导入自动化检测工具中实施漏洞检测工作，而且还能用于描述测试报告。

CVE (Common Vulnerabilities andExposures) CVE是包含了公众已知的信息安全漏洞的信息和披露的集合，是已公开的信息安全漏洞字典，具有统一的漏洞编号标准，也是实现不同厂商之间信息交换的统一标准。CCE（Common Configuration Enumeration：通用配置枚举）是用于描述计算机及设备配置的标准化语言。CPE（Common Platform Enumeration：通用平台枚举）是一种对应用程序、操作系统以及硬件设备进行描述和标识的标准化方案。也有很多厂商维护自己的Vulnerability Reference，如微软的MS、MSKB。

CVSS (Common Vulnerability Scoring System) CVSS是一个行业公开标准，是描述安全漏洞严重程度的统一评分方案。通常CVSS与CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新，其分值范围： 0-10，不同机构按CVSS分值定义威胁的中、高、低威胁级别。

NVD (National Vulnerability Database) NVD是美国政府的漏洞管理标准数据库，完全基于SCAP框架，实现自动化漏洞管理、安全测量、合规要求。