WikiDer > Перечень общих слабых мест

Common Weakness Enumeration

В Перечень общих слабых мест (CWE) - это система категорий для слабых мест и уязвимостей программного обеспечения. Он поддерживается проектом сообщества, целью которого является понимание недостатков программного обеспечения и создание автоматизированных инструментов, которые можно использовать для выявления, исправления и предотвращения этих недостатков.[1] Спонсором проекта является Национальная кибербезопасность FFRDC, которым управляет Корпорация МИТЕРпри поддержке US-CERT и Управление национальной кибербезопасности Министерства внутренней безопасности США.[2]

Версия 3.2 стандарта CWE была выпущена в январе 2019 года.[3]

CWE имеет более 600 категорий, включая классы для переполнения буфера, ошибок обхода пути / дерева каталогов, условий гонки, межсайтовый скриптинг, жестко закодированные пароли и незащищенные случайные числа.[4]

Примеры

  • Категория 121 CWE предназначена для переполнения буфера на основе стека.[5]

CWE совместимость

Программа совместимости Common Weakness Enumeration (CWE) позволяет проверять и регистрировать услугу или продукт как официально «CWE-совместимый» и «CWE-эффективный». Программа помогает организациям выбрать правильные программные инструменты и узнать о возможных слабых местах и ​​их возможном влиянии.

Для получения статуса совместимости с CWE продукт или услуга должны соответствовать 4 из 6 требований, указанных ниже:

CWE с возможностью поискапользователи могут искать элементы безопасности, используя идентификаторы CWE
Выход CWEэлементы безопасности, представленные пользователям, включают или позволяют пользователям получать связанные идентификаторы CWE
Точность отображенияэлементы безопасности точно связываются с соответствующими идентификаторами CWE
Документация CWEдокументация по возможности описывает CWE, совместимость с CWE и то, как функциональность, связанная с CWE, используется в этой возможности.
Покрытие CWEдля совместимости с CWE и эффективности CWE документация по возможности явно перечисляет идентификаторы CWE-ID, охват и эффективность которых, согласно заявлению, обнаруживаются в программном обеспечении.
Результаты тестирования CWEдля CWE-Effectiveness результаты тестирования возможностей, показывающие результаты оценки программного обеспечения для CWE, размещаются на веб-сайте CWE.

По состоянию на сентябрь 2019 года 56 организаций разрабатывают и поддерживают продукты и услуги, получившие статус совместимости с CWE.[6]

Исследования, критика и новые разработки

Некоторые исследователи считают, что двусмысленности в CWE можно избежать или уменьшить.[7]

Смотрите также

Рекомендации

  1. ^ "CWE - О CWE". на mitre.org.
  2. ^ Национальная база данных уязвимостей CWE Slice на nist.gov
  3. ^ "CWE News". на mitre.org.
  4. ^ The Bugs Framework (BF) / Common Weakness Enumeration (CWE) на nist.gov
  5. ^ CWE-121: переполнение буфера на основе стека
  6. ^ «CWE - CWE-совместимые продукты и услуги». на mitre.org.
  7. ^ Пол Э. Блэк, Ирена В. Боянова, Яаков Еша, Ян Ву. 2015 г. К «Периодической таблице» ошибок

внешняя ссылка