Перечень общих слабостей

Каталог слабых мест и уязвимостей программного обеспечения

Common Weakness Enumeration ( CWE ) — это система категорий для аппаратных и программных слабостей и уязвимостей. Она поддерживается проектом сообщества, целью которого является понимание недостатков программного обеспечения и оборудования и создание автоматизированных инструментов, которые могут быть использованы для выявления, исправления и предотвращения этих недостатков. ^[1] Проект спонсируется офисом Агентства по кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США (DHS), которым управляет корпорация MITRE ^[2] при поддержке US-CERT и Национального отдела кибербезопасности Министерства внутренней безопасности США. ^{[3] [4]}

Версия 4.15 стандарта CWE была выпущена в июле 2024 года. ^[5]

CWE имеет более 600 категорий, включая классы для переполнений буфера, ошибок обхода дерева путей/каталогов, состояний гонки, межсайтового скриптинга , жестко запрограммированных паролей и небезопасных случайных чисел. ^[6]

Примеры

• Категория CWE 121 предназначена для переполнений буфера на основе стека. ^[7]

Совместимость с CWE

Программа совместимости Common Weakness Enumeration (CWE) позволяет услуге или продукту быть рассмотренными и официально зарегистрированными как «CWE-совместимые» и «CWE-эффективные». Программа помогает организациям выбирать правильные программные инструменты и узнавать о возможных слабостях и их возможном влиянии.

Для получения статуса CWE Compatible продукт или услуга должны соответствовать 4 из 6 требований, указанных ниже:

По состоянию на сентябрь 2019 года 56 организаций разрабатывают и поддерживают продукты и услуги, получившие статус CWE Compatible. ^[8]

Исследования, критика и новые разработки

Некоторые исследователи полагают, что двусмысленности в CWE можно избежать или уменьшить. ^[9]

Смотрите также

• Распространенные уязвимости и риски (CVE)
• Общая система оценки уязвимостей (CVSS)
• Национальная база данных уязвимостей

Ссылки

1. "CWE - О CWE". на сайте mitre.org.
2. "CWE - Часто задаваемые вопросы (FAQ)". cwe.mitre.org . Получено 21.09.2023 .
3. "Уязвимости | NVD CWE Slice". Национальная база данных уязвимостей .
4. Госева-Попстоянова, Катерина; Перхинский, Андрей (2015). «О возможности статического анализа кода обнаруживать уязвимости безопасности». Информационные и программные технологии . 68 : 18–33. doi :10.1016/j.infsof.2015.08.002.
5. "CWE Version 4.15 Now Available". Mitre Corporation . Получено 17 октября 2024 г.
6. Боянова, Ирена (2014). «Bugs Framework (BF): Формализация слабых мест и уязвимостей безопасности программного обеспечения». samate.nist.gov .
7. "CWE - CWE-121: Переполнение буфера на основе стека (4.15)". cwe.mitre.org . Получено 5 августа 2024 г. .
8. «CWE — CWE-совместимые продукты и услуги». на сайте mitre.org.
9. Пол Э. Блэк; Ирена В. Боянова; Яаков Йеша; Ян Ву (2015). «К «периодической таблице» ошибок». Национальный институт стандартов и технологий .

Внешние ссылки

• Сертификация приложений для известных уязвимостей безопасности. The Common Weakness Enumeration (CWE) Effort // 6 марта 2007 г.
• "Классы уязвимостей и атак" (PDF) . Справочник Wiley по науке и технике для внутренней безопасности . сравнение различных классификаций уязвимостей. Архивировано из оригинала (PDF) 2016-03-22.{{cite web}}: CS1 maint: другие ( ссылка )