Перечень общих слабостей

Каталог слабых мест и уязвимостей программного обеспечения

Common Weakness Enumeration (CWE) — это система категорий слабых мест и уязвимостей аппаратного и программного обеспечения. Он поддерживается проектом сообщества, целью которого является понимание недостатков программного и аппаратного обеспечения и создание автоматизированных инструментов, которые можно использовать для выявления, исправления и предотвращения этих недостатков. ^[1] Проект спонсируется офисом Агентства кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США (DHS), которым управляет корпорация MITRE , ^[2] при поддержке US-CERT и Национального кибербезопасности . Отдел безопасности Министерства внутренней безопасности США. ^{[3] [4]}

Версия 4.10 стандарта CWE была выпущена в июле 2021 года. ^[5]

CWE имеет более 600 категорий, включая классы для переполнения буфера, ошибок обхода дерева путей/каталогов, условий гонки, межсайтовых сценариев , жестко закодированных паролей и небезопасных случайных чисел. ^[6]

Примеры

• Категория CWE 121 предназначена для переполнения буфера стека. ^[7]

CWE-совместимость

Программа совместимости Common Weakness Enumeration (CWE) позволяет проверить и зарегистрировать услугу или продукт как официально «совместимый с CWE» и «эффективный с CWE». Программа помогает организациям выбрать правильные программные инструменты и узнать о возможных слабых сторонах и их возможном влиянии.

Чтобы получить статус совместимости с CWE, продукт или услуга должны соответствовать 4 из 6 требований, показанных ниже:

По состоянию на сентябрь 2019 года насчитывается 56 организаций, которые разрабатывают и поддерживают продукты и услуги, получившие статус совместимости с CWE. ^[8]

Исследования, критика и новые разработки

Некоторые исследователи считают, что двусмысленностей в CWE можно избежать или уменьшить. ^[9]

Смотрите также

• Распространенные уязвимости и риски (CVE)
• Общая система оценки уязвимостей (CVSS)
• Национальная база данных уязвимостей

Рекомендации

1. «CWE - О CWE» . на сайте mitre.org.
2. «CWE - Часто задаваемые вопросы (FAQ)» . cwe.mitre.org . Проверено 21 сентября 2023 г.
3. Национальная база данных уязвимостей CWE Slice на nist.gov
4. Госева-Попстоянова, Катерина; Перхинский, Андрей (2015). «О возможности статического анализа кода обнаруживать уязвимости безопасности». Информационные и программные технологии . 68 : 18–33. doi :10.1016/j.infsof.2015.08.002.
5. «Версия CWE 4.10 теперь доступна» . Корпорация МИТЕР . Проверено 9 марта 2022 г.
6. Структура ошибок (BF) / Перечень общих слабостей (CWE) на nist.gov
7. CWE-121: Переполнение буфера на основе стека
8. «CWE - Продукты и услуги, совместимые с CWE» . на сайте mitre.org.
9. Пол Э. Блэк, Ирена В. Боянова, Яаков Йеша, Ян Ву. 2015. К «таблице Менделеева» ошибок

Внешние ссылки

• Сертификация приложений на предмет известных недостатков безопасности. Усилия по подсчету общих слабостей (CWE) // 6 марта 2007 г.
• «Классы уязвимостей и атак» (PDF) . Справочник Wiley по науке и технологиям для внутренней безопасности . сравнение различных классификаций уязвимостей. Архивировано из оригинала (PDF) 22 марта 2016 г.{{cite web}}: CS1 maint: другие ( ссылка )