文件存在许多文档,以帮助阐明CWE的历史意义,当前用途和未来方向。还包括旧文档的档案。 使用CWE列表模式文档 该文档,发布在CWE列表页面,包含官方CWE模式中各个元素的描述。它提供了对CWE数据结构的基本理解,可以用作开发新的CWE条目或在现有条目中添加内容的有用指南。架构文档的先前版本可在发布下载。 CWE列表报告 包括“常规报告”,例如利益相关者现场优先级,现场完整性目标,模式文档(当前版本),链条和复合材料等以及来自各种CWE列表版本的“差异报告”。 CVE→CWE映射和导航指南 提供将CVE映射到CWE -IDS的信息以及在CWE网站上搜索和导航CWE内容的提示,包括以下内容:“映射到CWE IDS - 最佳匹配标准”,“使用网站以映射到映射到CWE-ID和“搜索和导航的其他建议”。 CWE开发和研究观点的演变 本文解释了CWE,CWE-699(开发概念)和CWE-1000(研究概念)中两个主要观点的演变。它标识了用于构建视图的方法,包括强调提供清晰的名称和描述。 CWE开发和研究观点的比较 本文在CWE,CWE-699(开发概念)和CWE-1000(研究概念)中进行了比较,并展示了CWE-699与七个有害王国(CWE-700)的相似之处(CWE-700),而CWE是如何相似的。-1000是弱点分类的新方法。欢迎评论和反馈cwe@mitre.org。2008年9月9日 - CWE技术负责人史蒂夫·克里斯蒂(Steve Christey) CWE映射分析 本文描述了一项研究的结果,该研究检查了CWE如何映射到第三方弱点描述。分析了三个单独存储库的CWE映射,分为“映射拟合”的十类。几个类别对未来如何管理CWE内容具有影响。脆弱性分类的工具供应商和研究人员将发现此文档有用。欢迎评论和反馈cwe@mitre.org。2008年9月9日-Mark Loveless,CWE研究员 PDF(53 kb) 结构化的CWE描述 本文包含使用漏洞理论术语对一些最臭名昭著的CWE条目的结构化半正式描述。结构化描述提供了一种一致的方法来清楚定义每个弱点的核心,并有助于阐明分类问题。欢迎评论和反馈cwe@mitre.org。2007年7月10日 - CVE列表编辑和CWE技术负责人史蒂夫·克里斯蒂(Steve Christey);CWE研究人员Conor Harris PDF(163 kb) 档案使用和引用 该存档的网页列出了行业,政府,学术界,政策/指导,参考和标准的CWE社区使用情况。还包括类别引用数量的运行计数。 CWE研究 此存档页面包括指向网站部分的链接以及用于研究CWE列表的早期版本的文档。 来源 用于帮助构建CWE列表的早期版本的外部资源列表。 信息保证标准的进步 此简报是在CISQ研讨会 - 联邦收购中的软件质量在美国弗吉尼亚州雷斯顿。2014年3月26日 - CWE/CAPEC计划经理Robert A. Martin,网络安全高级顾问美国通用服务管理局任务保证办公室埃米尔·莫内特(Emile Monette)和计算机科学家http://csrc.nist.gov/保罗·布莱克博士。 PDF(6 MB) CWE入门手册 简短的两页CWE介绍。2013年2月。 PDF(522 KB) CWSS/CWRAF入门手册 简短的两页介绍普通弱点评分系统(CWSS™)和常见弱点风险分析框架(CWRAF™)努力。2013年2月。 PDF(131 KB) 减轻最令人发指的可剥削软件弱点的主要实践,第II卷 - (2012年11月1日,第2.3版) 该口袋指南重点介绍了预防和减轻最糟糕的可剥削软件弱点的关键实践。这些关键实践记录在“ 2011 CWE/SANS前25名最危险的编程错误”中。前25个CWE是危险的,因为它们经常允许攻击者完全接管该软件,窃取数据或完全阻止该软件工作。口袋指南中指定的一些实践来自缓解建议,这些建议在CWE前25名中的许多CWE中都是常见的,而另一些则来自Cert Secure Coding Wiki上所述的方法。这些实践并未表示为完整或全面;然而,他们确实为开始SWA工作的重点提供了重点。 8.5“ x 11”版本PDF文件 脆弱性理论简介 本文概述了漏洞理论术语和用于创建一些主要CWE条目的结构化描述的概念。脆弱性理论词汇和框架的目的是创建一种描述缺陷概念并快速教育新研究人员的标准方式。欢迎评论和反馈cwe@mitre.org。2009年10月29日 - CWE技术负责人史蒂夫·克里斯蒂(Steve Christey);CWE研究人员Conor Harris PDF(279 KB) 不可原谅的漏洞 此简报以“涡轮说”的形式黑帽简报2007在美国内华达州拉斯维加斯。2007年8月2日 - CVE列表编辑和CWE技术负责人史蒂夫·克里斯蒂(Steve Christey) PDF(212 KB) PDF(153 kb) 制作安全衡量播客 CVE兼容性领导和CWE计划经理Robert A. Martin进行了10分钟的播客访谈,bankinfosecurity.com关于常见的脆弱性和暴露(CVE®),共同弱点(CWE™),并在可衡量的安全性上进行确保黑帽简报2007- 2007年8月 mp3(9.3 MB) 软件安全保证:最新报告(SOAR) 由美国国防部(DOD)信息保证技术分析中心(IATAC)发布(现在称为网络安全和信息系统信息分析中心[CSIAC]),该报告代表国土安全部(DHS)/国防部的合作努力软件保证(SWA)论坛和工作组并概述了软件必须运行和调查的环境的当前状态,并调查参与促进软件安全保证各个方面的当前和新兴活动和组织。该报告介绍了有关软件安全保证作为一门学科的值得注意趋势的观察,还描述了政府,行业和学术界在使用中的各种技术和技术,用于指定,获取,生产,评估和部署软件,这些软件可以通过可以说是合理的信心。- 2007年7月31日 PDF(6 MB) CVE(2001-2006)中的漏洞类型分布 该更新的技术白皮书讨论了过去五年中公开报告的高级漏洞类型,例如缓冲区溢出,跨站点脚本(XSS),SQL注入和PHP文件包含。本文确定并解释了诸如Web应用程序漏洞的快速增长,涵盖操作系统供应商咨询中漏洞类型的分布,并比较开放和封闭的源咨询中报告的问题。2007年5月22日 - CVE列表编辑和CWE技术负责人史蒂夫·克里斯蒂(Steve Christey);CWE计划经理Robert A. Martin PDF(2 MB) 明确有关安全弱点,Black Hat DC 2007 此幻灯片演示和白皮书在Black Hat DC 2007。这两个文件描述了CWE的工作,列出了社区成员,解释了如何开发CWE词典的草稿,描述CWE兼容性和CWE有效性计划,并提出与CWE相关的其他影响和过渡机会。2007年3月1日 - CWE计划经理Robert A. Martin;Sean Barnum,Cigital,Inc。;史蒂夫·克里斯蒂(Steve Christey),CWE技术领导 明确有关安全弱点 有关CWE的这篇文章发表在Crosstalk,《国防软件工程杂志》。文章描述了CWE的工作,列出了社区成员,解释了如何开发CWE词典的草稿,描述了CWE兼容性和CWE有效性计划,并建议与CWE相关的其他影响和过渡机会。2007年3月 - CWE计划经理Robert A. Martin PDF(417 KB) 状态更新:常见弱点枚举 NIST静态分析峰会,盖瑟斯堡,医学博士,2006年6月29日。 PDF(139 kb) 普通缺陷列举的情况 这份技术白皮书在NIST的有关软件安全保证工具,技术和方法的研讨会上介绍了美国加利福尼亚州长滩,讨论了CWE Initiative的原因和理性。2005年11月8日 - 罗伯特·A·马丁(Robert A.)和乔·贾佐贝克(DHS) PDF(287 KB) CWE兼容性CWE兼容性和CWE有效性的要求和建议 提供信息产品或服务可能与CWE兼容的详细要求。版本1.0,2011年6月12日-CWE项目负责人Robert A. Martin,CWE技术负责人Steve Christey CWE覆盖索赔代表 提供了CWE兼容性程序的覆盖范围索赔表示(CCR)功能的描述,该计划是软件分析供应商准确地向客户传达他们声称能够在软件中定位的CWE识别弱点的手段。还提供了CCR模式和示例。版本0.3,2011年6月12日-CWE项目负责人Robert A. Martin,CWE技术负责人Steve Christey
提供更多信息 - 请选择其他过滤器。
|
