Перечень общих слабых мест - Common Weakness Enumeration
В Перечень общих слабых мест (CWE) - это система категорий для слабых мест и уязвимостей программного обеспечения. Он поддерживается проектом сообщества, целью которого является понимание недостатков программного обеспечения и создание автоматизированных инструментов, которые можно использовать для выявления, исправления и предотвращения этих недостатков.[1] Спонсором проекта является Национальная кибербезопасность FFRDC, которым управляет Корпорация МИТЕР при поддержке US-CERT и Управление национальной кибербезопасности Министерства внутренней безопасности США.[2]
Версия 3.2 стандарта CWE была выпущена в январе 2019 года.[3]
CWE имеет более 600 категорий, включая классы для переполнения буфера, ошибок обхода пути / дерева каталогов, условий гонки, межсайтовый скриптинг, жестко закодированные пароли и незащищенные случайные числа.[4]
Примеры
- Категория 121 CWE предназначена для переполнения буфера на основе стека.[5]
CWE совместимость
Программа совместимости Common Weakness Enumeration (CWE) позволяет проверять и регистрировать услугу или продукт как официально «CWE-совместимый» и «CWE-эффективный». Программа помогает организациям выбрать правильные программные инструменты и узнать о возможных слабых местах и их возможном влиянии.
Для получения статуса совместимости с CWE продукт или услуга должны соответствовать 4 из 6 требований, указанных ниже:
| CWE с возможностью поиска | пользователи могут искать элементы безопасности, используя идентификаторы CWE |
| Выход CWE | элементы безопасности, представленные пользователям, включают или позволяют пользователям получать связанные идентификаторы CWE |
| Точность отображения | элементы безопасности точно связываются с соответствующими идентификаторами CWE |
| Документация CWE | документация по возможности описывает CWE, совместимость с CWE и то, как функциональность, связанная с CWE, используется в этой возможности. |
| Покрытие CWE | для совместимости с CWE и эффективности CWE документация по возможности явно перечисляет идентификаторы CWE-ID, охват и эффективность которых, согласно заявлению, обнаруживаются в программном обеспечении. |
| Результаты тестирования CWE | для CWE-Effectiveness результаты тестирования возможностей, показывающие результаты оценки программного обеспечения для CWE, размещаются на веб-сайте CWE. |
По состоянию на сентябрь 2019 года 56 организаций разрабатывают и поддерживают продукты и услуги, получившие статус совместимости с CWE.[6]
Исследования, критика и новые разработки
Некоторые исследователи считают, что двусмысленности в CWE можно избежать или уменьшить.[7]
Смотрите также
- Распространенные уязвимости и подверженности (CVE)
- Общая система оценки уязвимостей (CVSS)
- Национальная база данных уязвимостей
Рекомендации
- ^ "CWE - О CWE". на mitre.org.
- ^ Национальная база данных уязвимостей CWE Slice на nist.gov
- ^ "CWE News". на mitre.org.
- ^ The Bugs Framework (BF) / Common Weakness Enumeration (CWE) на nist.gov
- ^ CWE-121: переполнение буфера на основе стека
- ^ «CWE - CWE-совместимые продукты и услуги». на mitre.org.
- ^ Пол Э. Блэк, Ирена В. Боянова, Яаков Еша, Ян Ву. 2015 г. К «Периодической таблице» ошибок
внешняя ссылка
- Сертификация приложений на предмет известных уязвимостей. Усилия по подсчету общих слабых мест (CWE) // 6 марта 2007 г.
- «Классы уязвимостей и атак» (PDF). Справочник Wiley по науке и технологиям для внутренней безопасности. сравнение различных Классификаций уязвимостей. Архивировано из оригинал (PDF) 22 марта 2016 г.CS1 maint: другие (связь)