常见的弱点枚举

新CWE

常见的弱点枚举(CWE™)可以为一般人难以理解,甚至可以压倒性的经验丰富的IT行业经验丰富。本文档提供了一些如何熟悉之前CWE提供更全面地探索这种广泛的知识基础。如果你正在寻找的高级概述CWE计划,你来对地方了。

CWE是什么?

首先,我们应该描述CWE是什么。CWE是一个由社区开发的常用软件和硬件的弱点类型列表可以安全后果。“弱点”是一个条件在软件、固件、硬件、或服务组件,在某些情况下,可能导致的漏洞。弱点条件在许多情况下,产品的开发人员在开发过程中引入的。

即使开发人员可能有截然不同的编码实践,他们都能够引入同样常见的弱点,导致漏洞在他们自己的产品。的CWE列表和相关的分类和分类方案作为一种语言,可以用来识别和描述这些弱点的“连续波”。

最好的部分是,CWE是免费使用的,任何组织或者个人对任何研究,发展,和/或商业目的,每CWE的使用条款。

CWE包括什么样的东西呢?

CWE CWE被分配一个ID的形式——< ID >, < ID >的地方只是一个惟一的编号选择作业的时候(例如,“CWE - 798”)。CWE-ID是紧随其后的是一个描述性的弱点的名称(例如,“cwe - 798:使用硬编码的证书”)。

一个弱点被分配一个CWE-ID CWE的网站上发表了一篇,它必须包括一组必需的信息包括:

CWE所需元素	相关信息
的名字	这个名字包括(1)预期的行为,(2)错误(即。弱点),(3)受影响的资源(如相关),和(4)受影响的技术(如相关)。
总结	摘要是一个或两个句子的错误描述弱点的关注。
扩展描述	进一步扩展描述一个或两个段落描述如何疲软可能是一个问题。面向观众,可能不了解的弱点可能是一个问题。
模式的介绍	介绍的模式提供了如何以及何时引入的弱点可能(例如,通过产品生命周期阶段)。
潜在的缓解措施	潜在的气候变化的一个或多个技术将消除和/或减少的频率或影响的弱点。
常见的后果	常见的后果是典型的消极安全影响(或影响),如果攻击者可以利用这个弱点。
适用的平台	适用平台指定编程语言、操作系统、体系结构和技术,这个弱点通常是发现。
示范例子	通过代码示范例子说明疲软,说明文本和/或图。
观察到的例子	观察到的例子是公开报道的漏洞(例如,CVE记录)在实际的产品表现出弱点。
的关系	相关关系是另一种连续波的弱点。
引用	包括一个或多个引用,引用url,学术论文、白皮书、博客文章、幻灯片或视频描述的弱点。

CWE弱点的一个例子是什么?

下面的屏幕截图提供一瞥在本教程中提供的第一个例子,“cwe - 798:使用硬编码的凭证。“这CWE描述情况的凭证,如密码或密钥,被硬编码到一个硬件或软件产品。对于那些不熟悉这个词“硬编码”,它只是一个说密码或密钥的方法直接在源代码中定义的一个产品,这使得管理员无法改变。

您可以跟随,并查看这个CWE通过访问https://cwe.mitre.org/,输入“cwe - 798”(没有引号)到ID查找框在页面的右上角,并单击Go按钮。

上面的图中显示的一些描述性的文本CWE - 798,而下面的图显示了示例1 CWE的示范例子部分。

以下数据显示,观察到的例子部分显示一个策划一系列真实的CVE记录硬编码的密码被发现在硬件或软件产品。最后一个图显示了软弱和应对潜在的哪一部分的开发过程被应用。

如果你之后,可以直接导航CWE - 798,您将注意到这个CWE条目包含更多的信息比在这些截图。一个成熟的CWE可以包含很多有用的信息!

我怎么能使用CWE吗?

许多不同的组织和个人使用CWE由于各种不同的原因。例如,软件开发人员和安全人员使用CWE今天作为共同的语言来讨论如何消除或减轻软件安全漏洞的架构,设计,代码,实现。其他组织正在使用CWE今天来评估软件安全工具寻找发现这些弱点,和作为一个共同的基准标准识别弱点,缓解和预防工作。

通过用户体验工作小组(UEWG)——几个协作社区努力之一——CWE程序也定义了一个数量的用户故事根据实际使用CWE列表的各种组织在行业、学术界和政府。这些用户故事可以帮助说明如何CWE列表是用于实践和如何帮助您或您的组织。可以找到CWE的用户故事在这里。

CWE团队邀请你去探索CWE列表今天和了解的方式使用它。我们希望本指南和其他可用的CWE文档有助于你理解CWE是什么,如何正确使用CWE列表,最重要的是为你和你的组织提供最好的信息安全漏洞。如果你有问题,评论,或想要参与我们的社区工作小组,随时接触团队cwe@mitre.org。