Common Weakness Enumeration (CWE) — это система категорий слабых мест и уязвимостей аппаратного и программного обеспечения. Он поддерживается проектом сообщества, целью которого является понимание недостатков программного и аппаратного обеспечения и создание автоматизированных инструментов, которые можно использовать для выявления, исправления и предотвращения этих недостатков. [1] Проект спонсируется офисом Агентства кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США (DHS), которым управляет корпорация MITRE , [2] при поддержке US-CERT и Национального кибербезопасности . Отдел безопасности Министерства внутренней безопасности США. [3] [4]
Версия 4.10 стандарта CWE была выпущена в июле 2021 года. [5]
CWE имеет более 600 категорий, включая классы для переполнения буфера, ошибок обхода дерева путей/каталогов, условий гонки, межсайтовых сценариев , жестко закодированных паролей и небезопасных случайных чисел. [6]
Программа совместимости Common Weakness Enumeration (CWE) позволяет проверить и зарегистрировать услугу или продукт как официально «совместимый с CWE» и «эффективный с CWE». Программа помогает организациям выбрать правильные программные инструменты и узнать о возможных слабых сторонах и их возможном влиянии.
Чтобы получить статус совместимости с CWE, продукт или услуга должны соответствовать 4 из 6 требований, показанных ниже:
По состоянию на сентябрь 2019 года насчитывается 56 организаций, которые разрабатывают и поддерживают продукты и услуги, получившие статус совместимости с CWE. [8]
Некоторые исследователи считают, что двусмысленностей в CWE можно избежать или уменьшить. [9]
{{cite web}}
: CS1 maint: другие ( ссылка )