历史MITER开始研究软件弱点的问题,因为它于1999年初推出常见漏洞和暴露(CVE®)列表。作为CVE开发的一部分,MITER的CVE团队开发了对漏洞,攻击,故障和其他概念的初步分类和分类,以帮助定义常见的软件弱点。但是,虽然CVE足够,但这些分组太粗糙了,无法用于识别和分类代码安全评估行业提供的功能。为了支持这种类型的用法,需要额外的保真度和简洁性,以及每个不同节点和分组(例如效果,行为和实施细节)等的其他细节和描述等。 为此,米特(Miter美国国土安全部(DHS)赞助国家标准研究所(nist)软件保证指标和工具评估(Samate)项目。我们由此产生的文件,标题为研究人员的脆弱性示例的初步清单(Plover)是一份工作文件,列出了以CVE名称确定的1,500多种漏洞的现实示例。PLOVER中的漏洞是在详细的概念框架内组织的,该概念框架目前列举了290个单独的软件弱点,特质,故障和缺陷,每个人都有大量的现实世界脆弱性示例。Plover代表了第一次尝试真正自下而上的努力,以采用现实世界中观察到的错误和缺陷,这些错误和缺陷确实存在于代码中,并将它们分组为常见类,代表代码中可能存在的更一般的潜在漏洞,然后最终到以适当的相对结构组织它们,以使它们可用于各种各样的观众,以实现各种各样的目的。 在Plover之后,下一步是在NIST Samate项目下建立社区对这些共同弱点的可接受定义和描述,这导致了创建和首次发行“普通弱点”清单and associated classification taxonomy in 2006. Not only did CWE encompass a large portion of the CVE List’s (now 130,000+) CVE Entries, but it also included detail, breadth, and classification structure from a diverse set of other industry and academic sources and examples including the McGraw/Fortify “Kingdoms” taxonomy; Howard, LeBlanc & Viega’s 19 Deadly Sins; and Secure Software’s CLASP project; among others. 多年来,后续发布完善了这些软件弱点类型及其分类树,同时还添加了新内容,例如2014年的移动应用程序。近年来,硬件安全问题(例如Lojax,Rowhammer,Meltdown/Spectre)已成为企业,OT和IoT的越来越重要的问题,从工业控制系统和医疗设备到汽车和可穿戴技术。因此,对硬件弱点的支持已在2020年添加到CWE列表中。 今天,每个新版本的CWE列表继续是社区努力。列表的创建是一个持续的过程CWE社区定期完善现有的软件和硬件弱点类型及其分类树,开发和添加新技术所需的新弱点类型定义和相关内容,并发现社区利用CWE内容(例如新数据驱动方法)的新方法这CWE前25名。
提供更多信息 - 请选择其他过滤器。
|
