Powszechne wyliczanie słabych stron
Common Weakness Enumeration (CWE) to system kategorii słabości i luk w zabezpieczeniach sprzętu i oprogramowania. Jest wspierany przez projekt społecznościowy, którego celem jest zrozumienie wad oprogramowania i sprzętu oraz stworzenie zautomatyzowanych narzędzi, które można wykorzystać do identyfikowania, naprawiania i zapobiegania tym wadom. Projekt jest sponsorowany przez National Cybersecurity FFRDC , który jest obsługiwany przez The MITRE Corporation , przy wsparciu US-CERT i National Cyber Security Division Departamentu Bezpieczeństwa Wewnętrznego USA.
Wersja 4.5 standardu CWE została wydana w lipcu 2021 roku.
CWE ma ponad 600 kategorii, w tym klasy dla przepełnień bufora, błędów przechodzenia przez drzewo ścieżek/katalogów, warunków wyścigu, skryptów między witrynami , zakodowanych na stałe haseł i niezabezpieczonych liczb losowych.
Przykłady
- Kategoria CWE 121 dotyczy przepełnień bufora opartych na stosie.
Zgodność z CWE
Program zgodności Common Weakness Enumeration (CWE) umożliwia sprawdzenie usługi lub produktu i zarejestrowanie go jako oficjalnie „zgodnego z CWE” i „efektywnego z CWE”. Program pomaga organizacjom w wyborze odpowiednich narzędzi programowych oraz poznaniu ewentualnych słabych punktów i ich możliwego wpływu.
Aby uzyskać status CWE Compatible, produkt lub usługa musi spełniać 4 z 6 wymagań przedstawionych poniżej:
| Możliwość przeszukiwania CWE | użytkownicy mogą wyszukiwać elementy bezpieczeństwa za pomocą identyfikatorów CWE |
| Wyjście CWE | elementy bezpieczeństwa prezentowane użytkownikom obejmują lub umożliwiają użytkownikom uzyskanie powiązanych identyfikatorów CWE |
| Dokładność mapowania | elementy bezpieczeństwa dokładnie łączą się z odpowiednimi identyfikatorami CWE |
| Dokumentacja CWE | Dokumentacja możliwości opisuje CWE, zgodność z CWE oraz sposób korzystania z funkcji związanych z CWE w możliwości |
| Zasięg CWE | dla CWE-Compatibility i CWE-Effectiveness, dokumentacja możliwości wyraźnie wymienia identyfikatory CWE, których zasięg i skuteczność deklaruje zdolność w stosunku do lokalizowania w oprogramowaniu |
| Wyniki testu CWE | w przypadku CWE-Effectiveness wyniki testów z możliwością wyświetlania wyników oceny oprogramowania dla CWE są publikowane na stronie internetowej CWE |
Według stanu na wrzesień 2019 r. istnieje 56 organizacji, które opracowują i utrzymują produkty i usługi, które uzyskały status zgodności z CWE.
Badania, krytyka i nowe osiągnięcia
Niektórzy badacze uważają, że dwuznaczności w CWE można uniknąć lub zmniejszyć.
Zobacz też
- Typowe luki w zabezpieczeniach i zagrożenia (CVE)
- Wspólny system oceny podatności na zagrożenia (CVSS)
- Krajowa baza danych o lukach w zabezpieczeniach
Linki zewnętrzne
- Certyfikacja aplikacji pod kątem znanych słabych punktów w zabezpieczeniach. Wysiłek dotyczący wspólnego wyliczenia słabych stron (CWE) // 6 marca 2007 r
-
„Klasy luk i ataków” (PDF) . Wiley Handbook of Science and Technology for Homeland Security . porównanie różnych klasyfikacji podatności. Zarchiwizowane od oryginału (PDF) w dniu 22.03.2016 r.
{{ cite web }}: CS1 maint: other ( link )