普遍的弱点

关于CWE

什么是CWE？

普通弱点枚举（CWE™）是一个社区发展的通用软件和硬件弱点类型列表具有安全后果。“弱点”是软件，固件，硬件或服务组件中的条件，在某些情况下，可能有助于引入漏洞。这CWEList相关的分类分类学用作一种可以用来识别和描述CWES的弱点的语言。

CWE的主要目标是针对开发和安全从业人员社区，是通过教育软件和硬件架构师，设计师，程序员和收购方来阻止源头的漏洞，以了解如何消除产品之前最常见的错误。最终，使用CWE有助于防止困扰软件和硬件行业并使企业处于危险之中的安全漏洞。

CWE可帮助开发人员和安全从业人员：

• 用通用语言描述和讨论软件和硬件弱点。
• 检查现有软件和硬件产品中的弱点。
• 评估针对这些弱点的工具的覆盖范围。
• 利用弱点识别，缓解和预防工作的共同基线标准。
• 在部署前预防软件和硬件漏洞。

CWEList

CWE列表包括软件和硬件弱点类型。2006年首次发行（查看历史）列表最初集中在软件弱点上，因为各种规模的组织都希望保证他们收购和开发的软件产品没有已知类型的安全缺陷。后续发布的释放完善了这些弱点及其分类树（将其作为“ CWES”引用），同时还添加了新内容，例如用于移动应用程序的CWE。

近年来，硬件安全问题（例如Lojax，Rowhammer，Meltdown/Spectre）已成为企业，OT和IoT的越来越重要的问题，从工业控制系统和医疗设备到汽车和可穿戴技术。因此，对硬件弱点的支持已在2020年添加到CWE列表中。

自开始以来，列表的创建一直是一项社区倡议，旨在为每种共同的弱点类型及其相关的分类树结构开发特定而简洁的定义，并随着时间的流逝而完善它们。通过利用最广泛的兴趣和才能，我们确保列表中的每个项目都得到充分描述和区分。

今天，CWE列表的每个新版本都将继续这项工作。

使用CWE列表

CWE列表完全可搜索有可能查看或者下载完整的，但是CWE的一个独特而有用的功能是从不同观点互动的能力。

这软件开发查看通过在开发过程中经常使用或遇到的概念组织项目硬件设计查看组织围绕硬件设计中经常使用或遇到的概念的弱点，研究概念通过行为组织项目来促进弱点类型研究。

其他有用的预定义观点提供有关某个域或用例的见解，例如在设计期间引入或实施过程中引入的弱点；间接安全影响的弱点；用C，C ++，Java和PHP编写的软件；在移动应用程序中；还有很多。另一个有用的功能是CWE内容的外部映射相关资源，包括CWE TOP 25（2020）；OWASP前十名（2017年）;七个有害王国；软件故障模式簇；CISQ质量指标（2020）;以及C，Java和Perl的SEI CERT编码标准。

CWE内容中的所有这些独特的观点使您能够快速利用CWE来满足自己的特定需求。CWE列表内容也可以免费纳入研究，教育材料，流程和工具中使用条款。

得分CWES的严重程度

可以使用弱点的严重性来评分普通弱点评分系统（CWSS™）和常见弱点风险分析框架（CWRAF™）。CWSS使组织能够在其软件应用程序中发现的软件编码错误的严重性，以减轻他们目前正在使用并影响未来购买的应用程序中的弱点，而CWRAF使组织能够将CWS应用于与自己最相关的CWES，特定的业务，任务和部署的技术。

CWE前25个最危险的软件弱点

这CWE前25个最危险的软件弱点列表是一种免费，易于使用的社区资源，可以识别最广泛，最关键的编程错误，这些错误可能导致严重的软件漏洞。这些弱点通常很容易找到，并且易于利用。它们是危险的，因为它们通常很容易找到，利用，并且可以使对手能够完全接管系统，窃取数据或阻止应用程序工作。

CWE前25位是在当时首次发布的，当时是通过从各种开发人员，安全分析师，研究人员和供应商中汇总的调查响应来构建的，他们提名了他们认为是最普遍或最重要的弱点，以确定排名。2010年和2011年的版本也遵循这种方法，但它仍然是劳动密集型和主观的。从2019年开始，采用了一种新的数据驱动方法，该方法是可重复的，可以脚本脚本以最少的精力定期生成CWE前25名列表。这2020 CWE TOUP 25使用来自现实世界的漏洞数据美国国家脆弱性数据库（NVD），结合频率和平均常见的脆弱性评分系统（CVSS）得分以确定等级顺序。

今天，CWE前25名is a valuable community resource that can help developers, testers, and users – as well as project managers, security researchers, and educators – provide insight into the most severe and current security weaknesses.

CWE最重要的硬件弱点

2021年发行，是有史以来第一个版本的“2021 CWE™最重要的硬件弱点列表“是一个由社区开发的硬件弱点列表，具有详细的描述和减轻和避免它们的权威指导，现在可以在CWE网站上获得。

列表的目标是通过CWE提高对常见硬件弱点的认识，并通过教育设计师和程序员如何在产品开发生命周期初期消除重要错误，以防止源头上的硬件安全问题。

安全分析师和测试工程师可以在准备安全测试和评估计划中使用该列表。硬件消费者可以使用列表来帮助他们向供应商那里寻求更多安全的硬件产品。此外，管理人员和CIO可以将列表用作确保硬件并确定在哪里指导资源来开发安全工具或自动化过程的努力的进展，这些过程通过消除底层根本原因来减轻广泛的漏洞。

CWE社区

CWE是由国际行业认可的CWE社区，其中包括来自主要操作系统供应商，商业信息安全工具供应商，学术界，政府机构和研究机构的代表。通过利用最广泛的兴趣和才能，我们确保CWE元素，特定效果，行为，利用机制和CWE列表中的实施细节得到充分捕获，描述和区分。

社区成员通过以下方式积极参与CWE工作。

• 加入我们关于弱点和脆弱性的对话CWE研究讨论清单。
• 提交软件和硬件弱点和CWE列表的相关内容。
• 与我们和社区互动，以帮助在社交媒体上推广CWE，包括CWE在Twitter上，，，，CWE在LinkedIn上， ETC。
• 采用与CWE兼容产品和服务。
• 提倡扩展和积极使用CWE和CWE前25名由社区。

下一步

我们鼓励您利用CWE来实现您的企业安全，产品开发和教育目标。我们特别鼓励您加入我们和CWE社区，因为我们继续开发CWE的未来版本。

请联系我们想要查询更多的信息。