1990年，Longstaff-人認為漏洞是指系統中存在的任何不足或缺陷。在計算機安全中， 漏洞可以從以下兩個方面來理解：一方面，漏洞是指自動化系統安全過程、管理控制以及內部控制等中的缺陷，它能夠被威脅利用，從而獲得對信息的非授權訪問或者破壞關鍵數據處理；另一方面，漏洞是指在物理層、組織管理、軟件程序或人員管理方面的缺陷，它能夠被利用而導致對系統的損害。

1999年，ISO/IEC15408對漏洞給出的定義是：漏洞是存在于評估對象(TOE)中的，在一定的環境條件下可能違反安全功能要求的弱點。2003年美國發布的信息系統安全詞匯表( NSTISSI N0.4009)給出的定義認為漏洞是指可被利用的信息系統、系統安全流程、內部控制或實施中存在的弱點。2006年美國家標準與技術研究院發布的《關鍵信息安全術語詞匯表》(NIsT IR 7298)定義漏洞是指威脅源可以攻擊或觸發的信息系統、系統安全流程、 內部控制或實施中的弱點。同年出版的《信息安全字典》中給出的定義，漏洞是系統安全流程、系統設計、實施、內部控制等過程中的弱點，這些弱點可以被攻擊以違反系統安全策略；攻擊或對威脅暴露的可能性特定于給定的平臺。2009年ISO/IEC SC 27發布的國際標準SD6: IT安全術語詞匯表》中給出的定義是，漏洞是一個或多個威脅可以利用的一個或一組資產的弱點；是違反某些環境中安全功能要求的評估對象( TOE)中的弱點；是在信息系統（包括其安全控制）或其環境的設計及實施中的缺陷、弱點或特性。

綜上所述，信息安全漏洞可以這樣理解，從生命周期的角度出發，信息技術、信息產品和信息系統在需求、設計、實現、配置、維護和使用等過程中，有意或無意產生的缺陷，這些缺陷一旦被惡意主體所利用，就會造成對信息產品或系統的安全損害，從而影響構建于信息產品或系統之上正常服務的運行，危害信息產品或系統及信息的安全屬性。

有時漏洞也被稱作錯誤( Error)、缺陷(Fault)、弱點(Weakness)、或是故障( Failure)等，這些術語很容易引起混淆。在許多情況下，人們習慣于將錯誤、缺陷、弱點都簡單地稱為漏洞。需要指出的是，嚴格地說，錯誤、缺陷、弱點和故障并不等于漏洞。錯誤、缺陷和弱點是產生漏洞的條件，漏洞被利用后必然會破壞安全屬性，但不一定能引起產品或系統故障。