Běžný výčet slabosti - Common Weakness Enumeration

The Běžný výčet slabosti (CWE) je systém kategorií slabých a slabých stránek softwaru. Je podporován komunitním projektem s cílem porozumět nedostatkům v softwaru a vytvářet automatizované nástroje, které lze použít k identifikaci, opravě a prevenci těchto nedostatků.^[1] Projekt sponzoruje Národní kybernetická bezpečnost FFRDC, kterou provozuje Společnost MITER Corporation, s podporou od US-CERT a Národní divize kybernetické bezpečnosti amerického ministerstva pro vnitřní bezpečnost.^[2]

Verze 3.2 standardu CWE byla vydána v lednu 2019.^[3]

CWE má více než 600 kategorií, včetně tříd pro přetečení vyrovnávací paměti, chyby procházení stromů cest / adresářů, podmínky závodu, skriptování mezi weby, pevně zakódovaná hesla a nezabezpečená náhodná čísla.^[4]

Příklady

CWE kategorie 121 je pro přetečení vyrovnávací paměti založené na zásobníku.^[5]

Kompatibilita s CWE

Program kompatibility s vyčíslením běžné slabosti (CWE) umožňuje, aby služba nebo produkt byly zkontrolovány a zaregistrovány jako oficiálně „CWE-Compatible“ a „CWE-Effective“. Program pomáhá organizacím při výběru správných softwarových nástrojů a učení se o možných slabinách a jejich možných dopadech.

K získání stavu kompatibility CWE musí produkt nebo služba splňovat 4 ze 6 požadavků, které jsou uvedeny níže:

CWE prohledávatelný	uživatelé mohou vyhledávat bezpečnostní prvky pomocí identifikátorů CWE
Výstup CWE	prvky zabezpečení prezentované uživatelům zahrnují nebo umožňují uživatelům získat přidružené identifikátory CWE
Přesnost mapování	bezpečnostní prvky přesně odkazují na příslušné identifikátory CWE
Dokumentace CWE	Dokumentace funkce popisuje CWE, kompatibilitu CWE a jak se používá funkce CWE související s funkcí
Pokrytí CWE	pro CWE-Compatibility and CWE-Effectiveness, the capability's documentation explicitly lists the CWE-IDs that the capability claims coverage and efficient against locating in software
Výsledky testu CWE	pro CWE-Effectiveness jsou výsledky testů z možností zobrazujících výsledky hodnocení softwaru pro CWE zveřejněny na webu CWE

K září 2019 existuje 56 organizací, které vyvíjejí a udržují produkty a služby, které dosáhly statusu CWE Compatible.^[6]

Výzkum, kritika a nový vývoj

Někteří vědci si myslí, že nejasnostem v CWE se lze vyhnout nebo je snížit.^[7]

Viz také

Reference

^ „CWE - About CWE“. na mitre.org.
^ CWE Slice národní databáze zranitelností na nist.gov
^ "CWE News". na mitre.org.
^ Bugs Framework (BF) / Common Weakness Enumeration (CWE) na nist.gov
^ CWE-121: Přetečení vyrovnávací paměti založené na zásobníku
^ „CWE - CWE-kompatibilní produkty a služby“. na mitre.org.
^ Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. Směrem k „Periodické tabulce“ chyb

externí odkazy

Certifikace aplikací pro známé slabé stránky zabezpečení. Snaha o společný výčet slabosti (CWE) // 6. března 2007
„Třídy zranitelností a útoků“ (PDF). Wiley Handbook of Science and Technology for Homeland Security. srovnání různých klasifikací zranitelnosti. Archivovány od originál (PDF) dne 22.03.2016.CS1 maint: ostatní (odkaz)

[1] „CWE - About CWE“. na mitre.org.

[2] CWE Slice národní databáze zranitelností na nist.gov

[3] "CWE News". na mitre.org.

[samate-4] Bugs Framework (BF) / Common Weakness Enumeration (CWE) na nist.gov

[5] CWE-121: Přetečení vyrovnávací paměti založené na zásobníku

[6] „CWE - CWE-kompatibilní produkty a služby“. na mitre.org.

[7] Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. Směrem k „Periodické tabulce“ chyb

[1]

[2]

[3]

[4]

[5]

[6]

[7]