Jump to content

Перечень общих слабостей

Common Weakness Enumeration ( CWE ) — это система категорий слабых мест и уязвимостей аппаратного и программного обеспечения. Он поддерживается проектом сообщества, целью которого является понимание недостатков программного и аппаратного обеспечения и создание автоматизированных инструментов, которые можно использовать для выявления, исправления и предотвращения этих недостатков. [1] Спонсором проекта выступает офис Агентства кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США (DHS), которым управляет корпорация MITRE . [2] при поддержке US-CERT и Отдела национальной кибербезопасности Министерства внутренней безопасности США. [3] [4]

Версия 4.10 стандарта CWE была выпущена в июле 2021 года. [5]

CWE имеет более 600 категорий, включая классы для переполнения буфера, ошибок обхода дерева путей/каталогов, условий гонки, межсайтовых сценариев , жестко закодированных паролей и небезопасных случайных чисел. [6]

Примеры [ править ]

  • Категория CWE 121 предназначена для переполнения буфера стека. [7]

Совместимость с CWE [ править ]

Программа совместимости Common Weakness Enumeration (CWE) позволяет проверить и зарегистрировать услугу или продукт как официально «совместимый с CWE» и «эффективный с CWE». Программа помогает организациям выбрать правильные программные инструменты и узнать о возможных слабых сторонах и их возможном влиянии.

Чтобы получить статус совместимости с CWE, продукт или услуга должны соответствовать 4 из 6 требований, показанных ниже:

CWE с возможностью поиска пользователи могут искать элементы безопасности, используя идентификаторы CWE
Выход CWE элементы безопасности, представленные пользователям, включают или позволяют пользователям получать связанные идентификаторы CWE.
Точность картографии элементы безопасности точно связаны с соответствующими идентификаторами CWE
Документация CWE документация по возможности описывает CWE, совместимость с CWE и то, как используются функции, связанные с CWE, в этой возможности.
Покрытие CWE для CWE-совместимости и CWE-эффективности в документации к функции явно перечислены CWE-ID, которые, как утверждает возможность, охватываются и эффективно противостоят расположению в программном обеспечении.
Результаты испытаний CWE для эффективности CWE результаты тестирования возможности, показывающие результаты оценки программного обеспечения для CWE, публикуются на веб-сайте CWE.

По состоянию на сентябрь 2019 года насчитывается 56 организаций, которые разрабатывают и поддерживают продукты и услуги, получившие статус совместимости с CWE. [8]

и разработки новые Исследования, критика

Некоторые исследователи считают, что двусмысленностей в CWE можно избежать или уменьшить. [9]

См. также [ править ]

Ссылки [ править ]

  1. ^ «CWE – О CWE» . на сайте mitre.org.
  2. ^ «CWE — Часто задаваемые вопросы (FAQ)» . cwe.mitre.org . Проверено 21 сентября 2023 г.
  3. ^ Национальная база данных уязвимостей CWE Slice на nist.gov
  4. ^ Госева-Попстоянова Катерина; Перхинский, Андрей (2015). «О возможности статического анализа кода обнаруживать уязвимости безопасности» . Информационные и программные технологии . 68 : 18–33. дои : 10.1016/j.infsof.2015.08.002 .
  5. ^ «Версия CWE 4.10 уже доступна» . Корпорация МИТЕР . Проверено 9 марта 2022 г.
  6. ^ Структура ошибок (BF) / Перечень общих слабостей (CWE) на nist.gov
  7. ^ CWE-121: Переполнение буфера на основе стека
  8. ^ «CWE — CWE-совместимые продукты и услуги» . на сайте mitre.org.
  9. ^ Пол Э. Блэк, Ирена В. Боянова, Яаков Йеша, Ян Ву. 2015. К «таблице Менделеева» ошибок

Внешние ссылки [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Common_Weakness_Enumeration&oldid=1220756211"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: a6a1cf13c83acce6f193b4a5cc42d3b0__1714059900
URL1:https://arc.ask3.ru/arc/aa/a6/b0/a6a1cf13c83acce6f193b4a5cc42d3b0.html
Заголовок, (Title) документа по адресу, URL1:
Common Weakness Enumeration - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)