常见问题(FAQ)常见问题的答案可用于下面的主题。请联系我们对这个页面提供反馈。
介绍
之间的区别是什么漏洞和弱点? 为什么CWE ?有很多支持这样的吗? 黑客不能够使用这个闯入我的网络,系统,或产品吗? CWE怎么能帮助我吗? 谁拥有CWE ?CWE免费公共使用吗? CWE和CAPEC之间的关系是什么? CWE和CVE之间的关系是什么? CWE和NVD之间的关系是什么? CWE如何与其他软件保证(SwA)的努力吗? CWE是什么?软件和硬件“缺点”是什么? 针对开发社区和社区安全从业者共同的弱点枚举(CWE™)是一个正式的列表或字典的常见的软件和硬件的弱点,可以发生在建筑,设计,代码,或实现,可以导致可利用的安全漏洞。CWE创建作为一种通用的语言来描述安全漏洞;作为一个标准的安全工具针对这些弱点的标尺;并提供一个共同的基准标准识别弱点,缓解和预防工作。 “弱点”是一个条件在软件、固件、硬件、或服务组件,在某些情况下,可能导致的漏洞。 弱点例子:
之间的区别是什么漏洞和弱点? 缺点是错误,可以导致漏洞。软件漏洞,比如枚举的常见的漏洞和风险敞口(CVE®)列表中,是一个错误的软件,可以直接被黑客用来获得一个系统或网络。硬件漏洞在硬件或固件是一个错误,可以使用黑客获得远程或物理访问系统。看到CWE是什么?软件和硬件“缺点”是什么?额外的信息。 为什么CWE ?有很多支持这样的吗? CWE倡议的主要目的是阻止漏洞在源教育软件和硬件收购者,建筑师,设计师和程序员如何消除产品交付前最常见的错误。CWE作为资源程序员编写代码时,建筑师为他们设计新的软件,硬件工程师创建物理组件,并支持教育工作者在教学安全作为课程的一部分,软件和硬件工程,计算机科学,管理信息系统;CWE最终帮助他们预防各种安全漏洞困扰软件和硬件产业,使企业面临风险。CWE继续进化作为一个协作社区努力填充一个公开可用的存储库中软件和硬件的错误代码,设计、体系结构和实现开发人员和安全人员也可以利用工具厂商标记他们的工具的报告和索赔。 CWE industry-endorsed的CWE社区,其中包括代表主流操作系统供应商、商业信息安全工具厂商,学术界、政府部门和研究机构。社区成员参与CWE的发展CWE社区研究电子邮件列表。这意味着CWE列表,以及其后续水煤浆和CWRAF努力,反映的见解和综合技能尽可能广泛的信息技术和信息安全专业人员的集合。 黑客不能够使用这个闯入我的网络,系统,或产品吗? 任何公开讨论软件和硬件和/或潜在的弱点造成的漏洞可能会帮助攻击者。然而,有几个原因CWE的好处超过了它的风险:
CWE怎么能帮助我吗? 软件和硬件开发组织和安全从业者使用CWE今天作为共同的语言来讨论如何消除或减轻软件安全漏洞的软件架构,设计,代码,实现。组织今天正在使用CWE作为评估软件安全的标准衡量标尺工具针对这些弱点,和作为一个共同的基准标准识别弱点,缓解和预防工作。 此外,CWE和社区共同努力,利用CWE列表和创建额外的工具来帮助企业和软件供应商的努力解决软件缺陷:
谁拥有CWE ?CWE免费公共使用吗? manbetx客户端首页维护CWE,其后续的努力,这个公共网站;管理程序的兼容性;并提供公正的技术指导CWE社区在整个过程中,以确保CWE符合公众利益。 CWE是免费使用的,任何组织或者个人对任何研究、开发、和/或商业目的,CWE /使用条款。斜方版权CWE名单,排名前25位,水煤浆,和CWRAF社区的利益,以确保每个仍然是一个自由和开放的标准,以及法律保护的持续使用它和任何生成的内容由政府、供应商、和/或用户。斜方有商标™CWE和相关缩写和CWE和相关商标来保护他们的唯一的和持续的使用CWE努力在信息安全领域。请联系我们如果你需要进一步澄清这个问题。 CWE和CAPEC之间的关系是什么? 虽然CWE软件和硬件缺陷类型的列表,常见的攻击模式枚举和分类(CAPEC™)是攻击者用最常见的方法来利用这些弱点。一起使用,CWE CAPEC提供理解和指导软件和硬件开发人员的水平,和他们的软件和硬件可能会如何攻击,从而为他们提供他们需要的信息,帮助他们建立更安全的软件和硬件。 CWE和CVE之间的关系是什么? 斜方开始着手的问题分类软件弱点1999年初启动了常见的漏洞和风险敞口(CVE®)列表。作为建筑CVE的一部分,横切的CVE团队开发了一种初步分类和分类的漏洞,攻击,错误,和其他概念从2005年开始帮助定义通用软件的弱点。然而,尽管满足CVE这些分组过于粗糙的被用来识别和分类的产品代码中提供的功能安全评估行业。的CWE列表成立于2006年,以更好地解决这些额外的需求。 CWE和NVD之间的关系是什么? 的美国国家漏洞数据库(NVD)是一个联邦政府标准的脆弱性管理数据的存储库。这个数据使脆弱的自动化管理,安全测量,和遵从性(例如,FISMA)。NVD集成CWE的得分常见的漏洞和风险敞口(CVE®)的条目,NVD是,通过提供一个整体CWE的截面结构。NVD分析师得分cf使用连续波不同级别的层次结构。这允许分析师得分cf罚款和粗粒度,这是必须的,由于需要不同程度的特异性被不同的cf。 CWE如何与其他软件保证(SwA)的努力吗? CWE及其后续CWE前25名,水煤浆,CWRAF测量和风险缓解努力专注于实现软件保证(SwA)。CWE倡议,成熟多年来通过协同努力美国国土安全部(DHS)网络和基础设施安全机构(CISA)和国际CWE社区可利用的软件,提供必要的表征结构使开发人员的教育和培训如何消除稀松平常的错误之前,软件和硬件产品交付并投入运营。 此外,CWE使SwA生态系统组件的可互操作的自动化和项目,如对象管理组织(OMG) SwA特遣部队OMG SwA生态系统。
社区
CWE社区
我和组织如何参与这个工作吗? CWE的作用研究是什么电子邮件讨论列表和我如何加入? 有人从CWE发言或参与小组讨论工业有关的事件,会议,等等。 我如何提交内容CWE列表吗? CWE兼容性
怎样才能使我的产品或服务CWE-Compatible和/或CWE-Effective吗?有具体要求,必须满足吗? 报道声称代表(CCR)是什么? 我的组织注册我们的产品或服务如何CWE-Compatible和/或CWE-Effective吗? 赞助商 斜接的角色 CWE社区CWE社区是谁?他们的角色是什么? CWE社区包括个体研究人员和来自许多组织来自行业的代表,学术界和政府感兴趣积极减少和管理软件的弱点。指的是CWE社区成员页面的贡献者。 我和组织如何参与这个工作吗? CWE的不可或缺的组成部分是广泛的社区参与。参观CWE社区和讨论表注册附加信息的页面。 CWE的作用研究是什么电子邮件讨论列表和我如何加入? 的CWE研究电子邮件讨论列表是一个轻主持公共论坛,讨论CWE定义,表明潜在的定义扩展(s),和/或提交新的定义。一般讨论自己的漏洞也是受欢迎的。 CWE的积极参与是一个重要的部分努力。信息安全社区的成员都被邀请参加。确认将被发送到你验证添加到列表(s)。查看我们的隐私政策。 有人从CWE发言或参与小组讨论工业有关的事件,会议,等等。 是的,联系我们CWE团队提交一份简报或参与小组讨论CWE,CWE前25名,水煤浆和/或CWRAF努力在你的下一个事件。 我如何提交内容CWE列表吗? 看到内容提交。 CWE兼容性“CWE-Compatible”是什么意思?“CWE-Effective”是什么意思? “CWE-Compatible”意味着一个产品或服务满足第一个四(4)下面列出的要求,而“CWE-Effective”意味着一个产品或服务满足所有六(6)要求。
参观CWE-Compatible和CWE-Effective产品和服务部分最新信息的类型和可用性CWE-Compatible和CWE-Effective产品和服务。 我的产品或服务可以使CWE-Compatible如何?有具体要求,必须满足吗? 看到CWE兼容性和有效性的程序,需求和建议CWE兼容性和CWE的有效性,报道称表示(CCR)的详细信息。 报道声称代表(CCR)是什么? CCR供应商进行分析的方法传达给客户哪些CWE-identified弱点他们声称能够定位。CCR文档都写在可扩展标记语言(XML)基于CCR模式。 每个CCR索赔文档包含以下信息:
注意,使这些组织声称在荣誉系统和CCR本身和CWE兼容程序验证或兽医的CCR语句覆盖。 看到报道称表示(CCR)例如和/或更多的信息。 我的组织可以注册我们的产品或服务作为CWE-Compatible ? 开始这一过程中,发送一个电子邮件cwe@mitre.org请求一个报关单连同你的组织名称,联系信息,产品的类型,产品或服务的名称。 看到做一个声明为更多的信息。 赞助商谁支付CWE ?赞助商是谁? CWE由办公室赞助美国国土安全部(DHS)网络和基础设施安全机构(CISA)。这CWE网站赞助和管理主教法冠使利益相关者的合作。 斜接的角色斜接在CWE的作用是什么? manbetx客户端首页(斜方)维护CWE列表及其后续工作(即。,CWE前25名,水煤浆,和CWRAF), moderates the CWE Research email list, and provides neutral guidance throughout the process to ensure that CWE serves the public interest.
CWE前25位最危险的软件缺陷列表
我应该做些什么来解决这些错误?前25名中如何帮助我? 黑客不能够使用这个闯入我的网络或系统吗? 这是如何不同于OWASP十大? 排名前25位的列表上的优先弱点如何? 排名前25位的列表还每年更新吗? CWE前25列表是什么? 的CWE前25位最危险的软件缺陷列表是一个示范列表最常见的和有效的问题经历了过去两年的日历。这些弱点是危险的,因为他们往往容易发现,开发,和能让对手完全接管一个系统,窃取数据,或者阻止应用程序工作。CWE的前25位是一种宝贵的社会资源,可以帮助开发人员、测试人员,和用户,以及项目经理,安全研究人员和教育工作者提供洞察最严重和当前安全弱点。 当前版本的CWE排名前25位的使用真实世界的脆弱的数据美国国家漏洞数据库(NVD),结合频率和平均普通危险得分系统(CVSS)分数决定一个排序。对这种新方法的详细信息,请访问CWE前25名页面。 我应该做些什么来解决这些错误?前25名中如何帮助我? 的CWE前25名列表为教育和意识是一种工具,可以帮助社区作为一个整体减少弱点的永存在软件代码,可能导致危险的漏洞。 软件开发人员,使用前25来帮助防止鼠疫软件行业的各种漏洞,通过识别和避免人人皆知的软件是发货之前出现的错误。 软件用户,使用前25名帮助实现一个更好的组织当前的风险意识的姿势,并询问你的供应商更安全的软件。 软件安全研究人员——使用前25集中在一个狭窄的但重要的子集,所有已知的安全漏洞。 软件经理和首席信息官——使用排名前25位的列表作为标尺的进步在你的努力来保护您的组织的软件,从而提高安全性。 注意:的常见的弱点评分系统(水煤浆™)和常见的弱点风险分析框架(CWRAF™)允许组织直接解决他们的具体需求。 不能攻击者使用这个闯入我的网络或系统吗? 任何公开讨论软件代码和/或潜在的弱点造成的漏洞可以帮助黑客。然而,有几个原因的好处CWE前25名,以及后续常见的弱点评分系统(水煤浆™)和常见的弱点风险分析框架(CWRAF™)努力,超过他们的风险:
这是如何不同于OWASP十大? 的OWASP前十名覆盖更多的一般概念和专注于Web应用程序。的CWE前25名覆盖更广泛的问题比来自OWASP前十名的以web为中心的视图,如缓冲区溢出。同时,排名前25位的目标之一是在一个水平,是程序员直接执行,所以它包含更详细的问题比在前十名中使用的类别。有一些重叠,因为web应用程序是如此普遍,有些问题在前十都通用的应用程序类的软件。 名单上的弱点优先怎么样? 当前版本,CWE团队把漏洞数据直接从美国国家漏洞数据库(NVD)和发展一个计分公式来计算一个排序的弱点相结合的频率与预计CWE严重性的剥削。尽管这种方法引入了偏差只通过分析报告的漏洞,可能会排除一些软件和其他数据的宽度,CWE团队认为,这将导致更可重复的、精确的每年评选名单之列。 这种新方法的详细信息,包括方法论、排名,得分,和精致的映射,请访问CWE前25名页面。 前25名中还每年更新吗? 是的,CWE前25将每年更新使用上描述的方法CWE前25名页面。 为以前版本的信息,请访问CWE排名前25位的存档。
CWE列表基础知识
什么是CWE-ID ?如何使用? CWE弱点条目中包含什么信息? 有词汇表或关键可以帮助我理解CWE术语吗? 什么是包含在CWE ZIP下载文件列表? 我如何使用CWE模式? 为什么有CWE的可打印版本列表吗?信息包含在它什么? 改变日志可用的不同发布版本CWE列表吗? 我怎样才能CWE的一个完整副本列表吗? 什么类型的软件和缺点包括CWE名单? 看到CWE是什么?软件和硬件“缺点”是什么?例如,CWE列表最新的列表页。 什么是CWE-ID ?如何使用? CWE标识符,也称为CWE-IDs或连续波,被组织成四个主要类型:一类,复合元素,视图和弱点。
CWE由个人CWE-ID号码搜索CWE网站主页,从右上角的搜索框CWE网站报头。此外,链接到具体CWE-IDs预定义的视图、图形、显式片,隐式片,复合材料,名叫链视角上可用CWE列表页面。 CWE弱点条目中包含什么信息? 每个CWE条目包括以下信息:
有词汇表或关键可以帮助我理解CWE术语吗? 是的,看到CWE术语表为一个基本术语和列表模式文档模式元素的关键。 什么是包含在CWE ZIP下载文件列表? ZIP下载文件下载CWE的XML格式的列表页面包含所选视图。 我如何使用CWE模式? 的CWE模式为验证各种XML提供下载文件提供个人CWE的条目吗CWE列表页面。看到模式文档额外的信息。 为什么有CWE的可打印版本列表吗?信息包含在它什么? 的CWE的可打印版本是为那些希望创建视图和使用PDF或印刷中的CWE列表格式。可打印版本包括所有CWE的完整列表条目序号以及最新版本的目录,索引,在面临利润率CWE-ID容易搜索通过打印副本。许多组织使用的打印副本CWE的设计审查会议和培训。 改变日志可用的不同发布版本CWE列表吗? 是的,看到报告。 我怎样才能CWE的一个完整副本列表吗?
使用CWE列表
CWE的四个不同的概述列表如何帮助我吗? 之间的区别是什么片显式和隐式片吗?每个类别下的各种片怎么能帮助我吗? 复合材料是什么,他们怎么能帮助我吗? 什么叫链和他们怎么能帮助我吗? 有一个小图标用于定义关键和视图页面? 括号中的数字表示什么CWE的各种视图列表中吗? 括号中的数字是CWE id的类别或弱点被列出。看到什么是CWE-ID ?如何使用?额外的信息。 CWE的四个不同的概述列表如何帮助我吗? 开发的概念——这一观点组织弱点在经常使用的概念或遇到了在软件开发中。因此,这一观点可以使密切与开发者的角度,教育工作者,和评估供应商。它提供了多种类别,旨在简化导航、浏览和映射。 研究概念——这一观点旨在促进研究的弱点,包括他们的相互依赖关系,可以利用在CWE系统识别理论空白。它将弱点的方式很大程度上忽略了它们如何能被探测到,他们出现在代码中,当他们介绍了软件开发生命周期。相反,它主要是根据抽象的软件组织的行为。 综合CWE字典这个视图列出了所有元素CWE类型列表按字母顺序排列的弱点。这种观点可能是有用的任何人员,教育家,软件开发人员,或者其他组织定位特定的弱点类型感兴趣。 pdf CWE的图形描述——这一观点提供了各种CWE的图形化表达的观点为PDF文件。它可以用于快速查看父关系隐含的结构在这些观点。同时,一些文件提供“覆盖图”的成员一个较小的视图的上下文中突出显示大图,说明小视图的条目是如何组织的较大视图。 之间的区别是什么片显式和隐式片吗?每个类别下的各种片怎么能帮助我吗? 一个“显式片”是一个视图的成员是由一些外部条件,表示使用HasMember视图和这些条目之间的关系,但不是条目本身之间。的例子是CWE 1026: OWASP的弱点十大(2017)和CWE 1128:方案及质量度量(2016)。 一个“隐式片”是一片,它定义了其成员基于共同特征的条目,如cwe - 658:软件用C编写的弱点。 片在CWE的“视图”机制之一,旨在帮助人们关注CWE的部分内容,他们正在寻找。 复合材料是什么,他们怎么能帮助我吗? 复合的实例中,两个或两个以上不同的弱点必须出现在同一时间出现为了潜在的漏洞,和删除任何缺点消除或大大降低了风险。例如,cwe - 61: UNIX符号链接(符号链接)只能通过结合几个组件的弱点,包括cwe - 340:可预见性的问题,cwe - 275:许可问题,cwe - 362:并发执行和不当使用共享资源同步(“竞争条件”)。 通过消除任何单个组件,开发人员可以防止复合成为可利用的。复合的各种组件被发现在一个软件系统的不同方面,在建筑,设计,代码,或实现,这意味着可能需要多个评价方法来找到他们,或者一种类型的评估方法——就像一个静态分析工具可以找到问题的代码而不是设计,架构,或实现。 什么叫链和他们怎么能帮助我吗? “链”是一个序列的两个或两个以上的独立的缺点,可以在软件中紧密联系在一起,其中一个的缺点可以直接创造条件,导致另一个弱点是必要的。“链”是那些频繁出现在连锁CWE-ID已经分配给它的软件,如cwe - 680:整数溢出缓冲区溢出。 通过了解一个弱点可以链到另一个弱点,导致另一种类型的弱点,评估结果显示存在的弱点之一链现在可以查看的可能性的一个弱点发现可能表明整个链的存在。 有一个关键的类型列中使用小图标部分的关系定义页面? 下面是一个关键图像图标:
得分连续波(水煤浆& CWRAF)
常见的弱点评分系统(水煤浆)
水煤浆是如何工作的呢? 水煤浆是如何帮我保护我的网络或系统吗? 我如何定制水煤浆为我组织? 为公共使用水煤浆是免费的吗? 有水煤浆计算器,计算器等普通危险得分系统(CVSS) ? 常见的弱点风险分析框架(CWRAF)
“业务领域”是什么? 一个“原型”是什么? “小插图”是什么? CWRAF如何帮我保护我的网络或系统吗? 我如何为我的组织定制CWRAF ? CWRAF免费公共使用吗? 常见的弱点评分系统(水煤浆)水煤浆是什么?如何与CWE ? 的常见的弱点评分系统(水煤浆™)允许组织软件编码错误的严重程度得分,连续波——在他们的软件应用程序以减少应用程序目前使用的弱点和影响未来的购买。当结合使用常见的弱点风险分析框架(CWRAF™)组织能够应用水煤浆,那些最相关的连续波自己的具体业务,任务和部署技术。 更多信息,请访问CWE-CWSS-CWRAF框架概述。 水煤浆是如何工作的呢? 水煤浆分数cw使用18个不同的因素跨三个指标组:(1)底部发现集团抓住了弱点的固有风险,对发现的准确性的信心,和强度控制;(2)攻击表面集团抓住了壁垒,攻击者必须交叉为了利用弱点;和(3)环保组织,其中包括因素可能是特定于一个特定的操作环境,如业务影响,利用的可能性和存在的外部控制。 对水煤浆是如何工作的详细描述访问水煤浆页面。 水煤浆是如何帮我保护我的网络或系统吗? 通过了解缺陷的严重程度软件开发人员和组织使用该软件将知道哪些cw应该优先解决。此外,教育者教学软件代码编写将知道哪些弱点在他们的课程应该直接解决。 我如何定制水煤浆为我组织? 为公共使用水煤浆是免费的吗? 水煤浆是免费使用的,任何组织或者个人对任何研究、开发、和/或商业目的,CWE /使用条款。斜方版权CWE列表,水煤浆,CWRAF,和排名前25位的社区的利益,以确保每个仍然是一个自由和开放的标准,以及法律保护的持续使用它和任何生成的内容由政府、供应商、和/或用户。请联系我们如果你需要进一步澄清这个问题。 有水煤浆计算器,计算器等普通危险得分系统(CVSS) ? 不,这个时候没有计算器用于水煤浆。 常见的弱点风险分析框架(CWRAF)CWRAF是什么?它是如何与CWE和水煤浆吗? 常见的弱点风险分析框架(CWRAF™)允许组织申请常见的弱点评分系统(水煤浆™)那些最相关的连续波自己的特定的企业,任务和部署技术。CWRAF,任何组织可以应用水煤浆的严重程度得分连续波中发现他们正在使用的软件应用程序,以减轻或尽快解决这些弱点,和/或影响未来的购买。 与CWE CWRAF使用水煤浆评分标准,提供一致的措施为优先风险敞口和关注减排努力和安全的编码实践。CWRAF还允许更好的知情决策更加安全和弹性软件的开发和采购的产品和服务。 “业务领域”是什么? CWRAF,业务领域是一个主要功能或服务,包括范围广泛的网络的操作和交互功能从公共和私营部门或组织,政府和军事、商业和非盈利组织、学术界、等,通过软件/启用或控制,需要一定程度的弹性与安全事务或操作。CWRAF业务领域的例子包括金融、电子商务、公共卫生、应急服务、电信等。 对看到的额外信息CWRAF页面和CWRAF领域、技术组、原型和装饰图案。 一个“原型”是什么? CWRAF,一个原型是通用类型的技术能力,组件,系统,复杂系统或体系结构通常被用来支持一个特定的组织的使命。一个原型也可以使用在多个业务领域。一个原型可能是一个Web应用程序中,Web服务器、数据库、智能手机,监控和数据采集(SCADA)系统,等。例如,许多行业管理他们的信息使用database-connected Web服务器和SCADA系统用于电网、制造业、石油和天然气传输等领域。 对看到的额外信息CWRAF页面和CWRAF领域、技术组、原型和装饰图案。 “小插图”是什么? 在CWRAF,装饰图案是一个可共享的,半正式的描述一个特定的业务领域内环境,软件在该环境中所扮演的角色,一个组织的优先级对软件安全。装饰图案识别重要的资源与能力,以及其重要性相对于安全原则如机密性、完整性和可用性。例如,在电子商务背景下,99.999%正常运行时间可能是一个强大的业务需求驱动的解释发现缺陷的严重程度。 小插曲让CWRAF支持不同的观众,可能有不同的要求,如何优先的弱点。那些观众也可以使用CWRAF得分的上下文中最适用于他们的装饰图案。 对看到的额外信息CWRAF页面和CWRAF领域、技术组、原型和装饰图案。 CWRAF如何帮我保护我的网络或系统吗? 通过了解这些连续波的严重程度直接影响你的组织,因为您目前正在使用的软件,您将有一个更完整的理解组织的安全风险的姿势比以往任何时候都要多。你就会知道哪些cw应该立即解决,内部或与你的供应商。你也会有可操作的数据来影响你的供应商改善他们的产品和服务的未来版本,并帮助您的组织在未来获得更安全的替代软件如果需要。 我如何为我的组织定制CWRAF ? CWRAF可以更有针对性的“头n个”CWE的优先级列表,指定各自的减排实践,相关的技术使用在特定的组织业务领域。CWRAF,企业从任何业务领域可以使用水煤浆与CWE评分标准,发现可利用的软件故障模式和缓解相关实践最相关的特定技术包括Web应用程序,控制系统,嵌入式系统,终点计算设备,身份管理系统、操作系统、数据库、存储系统、企业系统应用程序和云计算服务。 CWRAF使用小插曲与原型识别适用的连续波在各自的技术所使用的特定的业务领域。水煤浆评分标准适用于业务价值上下文指定连续波最适用于各自的情况。 CWRAF免费公共使用吗? CWRAF是免费使用的,任何组织或者个人对任何研究、开发、和/或商业目的,CWE /使用条款。斜方版权CWE列表,水煤浆,CWRAF,和排名前25位的社区的利益,以确保每个仍然是一个自由和开放的标准,以及法律保护的持续使用它和任何生成的内容由政府、供应商、和/或用户。请联系我们如果你需要进一步澄清这个问题。
更多的信息是可用的,请选择一个不同的过滤器。
|
