常见的弱点枚举

关于CWE

CWE是什么?

常见的弱点枚举(CWE™)是一个由社区开发的常见的软件和硬件的弱点列表类型安全的影响。“弱点”是一个条件在软件、固件、硬件、或服务组件,在某些情况下,可能导致的漏洞。的CWE列表和相关的类别分类作为一种语言,可以用来识别和描述这些弱点的连续波。

针对开发和安全从业者社区,CWE的主要目的是阻止漏洞在源教育软件和硬件架构师,设计师,程序员,收购方如何消除产品交付前最常见的错误。最终,使用CWE有助于防止各种安全漏洞困扰软件和硬件产业,把企业面临风险。

CWE帮助开发人员和安全人员:

• 描述和讨论软件和硬件共同语言的弱点。
• 检查现有的软件和硬件产品的弱点。
• 评估工具针对这些缺点的报道。
• 利用常见的基线标准识别弱点,缓解和预防工作。
• 在部署之前防止软件和硬件漏洞。

CWE列表

CWE列表包括软件和硬件缺陷类型。在2006年首次发布的(看待历史),列表最初专注于软件弱点因为各种规模的组织想要保证他们获得和开发的软件产品是免费的已知类型的安全漏洞。后续版本中改进这些缺点及其分类trees-referred作为“连续波”而也连续波等移动应用程序添加新的内容。

近年来,硬件安全问题(如LoJax, Rowhammer,崩溃/幽灵)已经成为企业越来越重要的问题,不,工业控制系统和物联网,从汽车和可穿戴技术和医疗器械。出于这个原因,支持硬件的弱点在2020年被添加到CWE列表中。

年初以来,创建列表的一个社区倡议制定特定的共同弱点和简洁的定义为每个类型及其相关分类树结构,随着时间的推移和提炼。通过利用尽可能广泛的利益集团和天赋,我们确保列表中的每一项充分描述和区分。

这项工作一直持续到今天的每个新版本CWE列表。

使用CWE列表

CWE列表可搜索的,可能查看或下载全部,但CWE的一个独特的和有用的特性是能够参与到内容从不同的观点。

的软件开发视图组织项目在开发过程中经常使用的概念或遇到,硬件设计查看组织经常使用的弱点在概念或遇到在硬件设计中,和研究概念通过行为来促进弱势类型组织的研究项目。

其他有用的预定义的视图提供对于一个特定的域或用例,如期间推出的弱点期间推出的设计或实施;弱点与间接安全的影响;在软件编写的C、c++、Java和PHP;在移动应用程序;和许多更多。另一个有用的功能是外部映射CWE的内容相关资源包括CWE前25 (2020);OWASP前十(2017);七个致命的王国;软件故障模式集群;方案及质量度量(2020);和SEI CERT的编码标准C、Java、Perl。

所有这些独特的视角CWE内容可以让你快速利用CWE自己的特定需求。CWE列表内容也可以纳入研究,教育材料,流程和工具,每使用条款。

得分连续波的严重程度

缺陷的严重程度可以得到使用常见的弱点评分系统(水煤浆™)和常见的弱点风险分析框架(CWRAF™)。水煤浆使组织能够得分的严重性软件编码错误中发现他们的软件应用程序为了减轻应用他们目前使用的弱点和影响未来的购买,而CWRAF允许组织水煤浆应用于那些最相关的连续波自己的具体业务,任务和部署技术。

CWE前25位最危险软件的弱点

的CWE前25位最危险的软件缺陷列表是一个免费的、易于使用的社区资源,识别最广泛和重要的编程错误,可以导致严重的软件漏洞。这些弱点往往容易找到,而且容易利用。他们是危险的,因为他们往往容易找,利用,并且可以让对手完全接管一个系统,窃取数据,或者阻止应用程序工作。

在2009年首次发布,CWE前25名当时由聚合对多种选择的开发人员,调查安全分析师,研究人员和供应商他们提名的弱点被认为是最普遍的或重要决定排名。2010年和2011年发布也遵循这种方法,但它仍然是劳动密集型的,主观的。从2019年开始,一个新的数据驱动的方法是可重复的和可脚本生成一个CWE定期排名前25位的列表以最小的努力。的2020年CWE前25名使用真实的脆弱的数据美国国家漏洞数据库(NVD),结合频率和平均普通危险得分系统(CVSS)分数决定一个排序。

今天,CWE前25名是一种宝贵的社会资源,可以帮助开发人员,测试人员,和用户,以及项目经理,安全研究人员和教育工作者提供洞察最严重和当前安全弱点。

CWE最重要的硬件的弱点

2021年发布第一个版本的“2021年CWE™最重要的硬件缺陷列表”是一个由社区开发的硬件缺陷列表详细描述和权威指导减轻和避免他们,现在CWE网站上可用。

的目标是驱动的认识常见的硬件列表通过CWE的弱点,并从源头上防止硬件安全问题通过教育设计者和程序员如何消除在产品开发周期的早期重要的错误。

安全分析师和测试工程师可以使用列表在准备计划安全性测试和评估。硬件消费者可以使用列表来帮助他们寻求更安全的硬件产品的供应商。同时,经理和首席信息官可以使用列表作为一个标尺的进步在努力确保他们的硬件和确定直接资源开发安全工具或自动化进程,缓解类的漏洞通过消除下属的根本原因。

CWE社区

CWE industry-endorsed国际CWE社区,其中包括代表主流操作系统供应商、商业信息安全工具厂商,学术界、政府部门和研究机构。利用尽可能广泛的利益集团和天赋,我们确保CWE元素,具体效果,行为,利用机制,充分和实现细节CWE列表中被俘,描述和区分。

社区成员积极参与CWE努力:

• 加入讨论在我们的弱点和漏洞CWE研究讨论表。
• 提交的软件和硬件的弱点CWE名单和相关内容。
• 与我们和社区促进CWE社交媒体,包括CWE在推特上,CWE在LinkedIn等。
• 采用CWE-Compatible的产品和服务。
• 提倡使用扩张和活跃CWE和CWE前25名的社区。

采取下一个步骤

我们鼓励您为您的企业利用CWE安全、产品开发、和教育目标。我们特别鼓励您加入我们,CWE社区随着我们继续发展CWE的未来版本。

请联系我们为更多的信息。