安全里面有一堆名词，在忽悠别人的时候不要把这些含义搞混了。

辨析如下：

漏洞（Vulnerability）：软件系统中可以被利用的缺陷。如果不能利用则只是一个bug。
风险（Risk）：系统被攻击会造成的损失。
威胁（Threat）：系统中漏洞可能会被某人发现。
暴露（Exposure）：漏洞有多久没修补。

那么简单举例

案例1：
鸦片战争的时候，列强进犯天朝。

列强就是威胁，他们时刻可能从海上攻入。

如果被攻入后，会割地赔款，这个就是风险。对清王朝来说，如果天津塘沽被攻击，则直接威胁紫禁城，这就是高风险。相反如果是南边的香港、澳门被攻击，威胁不到京城，就是低风险。

如果某个港口没造炮台，那这个港口就是漏洞。

如果该港口很久都没造炮台，比如一年，那么这一年就是暴露时间。



案例2：
你在家里睡觉，小偷要进来偷东西。

小偷就是威胁，他可能破门而入。

如果小偷进来，偷走了电脑、存折、盗版碟，这就是风险。电脑被偷走了，是高风险，盗版碟被偷走了，是低风险。

如果你家里的门只有插栓，这就是漏洞，如果第二天你换了个防盗门，就是修补了这个漏洞。

如果你一直用插栓用了一年，那这一年就是漏洞的暴露时间。



在具体衡量的时候，可能会有很多算法和公式、矩阵。我见过的几乎每家安全公司或厂商都有自己的一套算法。实际上，这些算法最终也只能定性的来表示结果。

明晰这几个名词之后，对概念可能会更明确，思路更清晰，忽悠人的时候，也会更有针对性和更有水准