普遍的弱点

关于CWE

来源

多年来，许多外部资源已用于帮助构建和编译CWE列表。

七个有害王国：软件安全错误的分类法

本文旨在帮助开发人员和安全从业人员了解导致漏洞的常见编码错误类型。通过将这些错误组织成简单的分类法，可以教导开发人员识别导致漏洞的问题类别，并在构建软件时识别现有错误。-Katrina Tsipenyuk，Brian Chess，Gary McGraw，NIST关于软件安全保证工具，技术和指标的研讨会，加利福尼亚州长滩，2005年11月。

PDF纸（73 KB）
PDF分类学的图形树（40 kb）
PDF分类法映射到CWE（64 KB）

扣钉应用程序安全过程

CLASP（全面，轻巧的应用程序安全流程）提供了一种井井有条，结构化的方法，可在可能的情况下将安全问题转移到软件开发生命周期的早期阶段。-John Viega，Secure Software，Inc.，2005年。

PDF纸（1.5 MB）
PDF分类学的图形树（44 KB）
PDF分类法映射到CWE（72 KB）

研究人员的脆弱性示例的初步清单（PLOVER）

作为Miter参与NIST研讨会的一部分，以支持软件保证指标和工具评估（Samate）项目，其中一些工作是根据Miter在Miter将CVE名称为公开漏洞分配给公开漏洞的工作开始的，并将其提交为输入。列举普通弱点倡议。除非正式分类法外，Plover还包括一般“脆弱性理论”的概念，研究差距的识别，术语讨论以及从Plover类别映射到1500 CVE名称，包括难以分类的示例索引。- 史蒂夫·克里斯蒂（Steve Christey），NIST研讨会，定义了2005年8月，马里兰州盖瑟斯堡（Gaithersburg）的软件安全工具的现状。

PDF纸（358 kb）
文本纸（345 KB）
PDF分类学图形树（103 kb）

十个最关键的Web应用程序安全漏洞

Open Web应用程序安全项目（OWASP）致力于帮助组织了解和改善其Web应用程序和Web服务的安全性。该列表的创建是为了将公司和政府机构重点放在这些漏洞中最严重。它代表了OWASP专家的综合智慧，其经验包括多年的政府，金融服务，制药和制造业以及开发工具和技术的应用程序安全工作。- 开放Web应用程序安全项目（OWASP），2004年1月。

PDF纸（来自这里）
PDF分类学的图形树（20 kb）

网络安全威胁分类

Web安全威胁分类是一项合作的努力，旨在澄清和组织对网站安全性的威胁。Web应用程序安全联盟的成员创建了此项目，以开发和促进行业标准术语来描述这些问题。应用程序开发人员，安全专业人员，软件供应商和合规性审核员将有能力访问与Web安全相关的问题的一致语言。-Web应用程序安全联盟，2005年11月。

PDF纸（来自这里）
PDF分类学的图形树（40 kb）

软件安全编程缺陷的19个致命罪以及如何修复它们

这本书适用于软件开发人员（无需平台，语言或应用程序类型），以输入软件安全性的“ 19个致命罪”，并显示如何修复每个人。- 迈克尔·霍华德（Michael Howard），大卫·勒布朗（David Leblanc），约翰·维加（John Viega），麦格劳 - 希尔·奥斯本（McGraw-Hill Osborne）媒体，ISBN：0-07-226085-8，2005年7月。

PDF分类学的图形树（12 kb）

软件缺陷分类法：针对安全的瞄准工具

在本文中，作者已经合并了以前的努力来分类安全问题以及事件报告，以创建安全缺陷分类法。作者将这种分类法与有关当前高优先级安全威胁的可用信息相关联，并对结果进行了观察。作者还建议该分类法适用于工具开发人员，并概述未来研究的可能领域。-Sam Weber，Paul A. Karger，Amit Paradkar，IBM研究部，Secure Systems软件工程 - 建筑物可信赖的应用程序（SESS'05），2005年6月，密苏里州圣路易斯。

PDF纸（128 kb）
PDF分类学的图形树（20 kb）

UNIX操作系统中安全故障的分类学

本文定义了UNIX操作系统中安全故障的分类以及用于分类故障并呈现不同故障类型的标准。-Taimur Aslam，普渡大学，1995年8月。

PDF纸（556 KB）
PDF分类学的图形树（12 kb）

UNIX系统和网络漏洞的分类学

本文以先前的工作为基础，以提出另一种分类法，并认为该分类方案突出了其比其他工作更有用的漏洞的特征。这项工作的独特贡献是分析如何使用保护分析工作来改善现有系统的安全性，以及如何使用最小的可利用安全缺陷编写程序。-Matt Bishop，加利福尼亚计算机科学大学的戴维斯大学，CSE-95-10，1995年5月。

PDF纸（100 kb）
PDF分类学的图形树（16 kb）

计算机程序安全缺陷的分类法，并带有示例

本文为计算机程序安全漏洞提供了分类法，以及仔细记录50个实际安全缺陷的附录。这些缺陷均已在开放文献中进行了描述，但在广泛分离的地方。对于那些新的计算机安全领域的人，它们很好地介绍了安全缺陷的特征及其如何出现。-Carl E. Landwehr，Alan R. Bull，John P. McDermott，William S. Choi，计算机高保证系统信息技术部，NRL/FR/5542--93-9591，1993年11月。

PDF纸（220 KB）
PDF分类学的图形树（52 KB）

保护分析：最终报告

ARPA IPTO在ISA启动了保护分析项目，以进一步了解操作系统的安全漏洞，并在可能的情况下确定可自动化的技术，以检测现有系统软件中的此类漏洞。- 理查德·比斯比（Richard Bisbey）和丹尼斯·霍林沃思（Dennis Hollingworth），南加州大学信息科学研究所，ARPA命令。2223，ISI/SR-78-13 1978年5月。

PDF纸（3.2 MB）
PDF分类学的图形树（12 kb）

RISOS项目：安全分析和计算机操作系统的增强

对计算机资源，价值数据和个人隐私的保护促使人们关注EDP安装的安全性，尤其是操作系统的安全性。在本报告中，分析了三个商业操作系统，并提高了安全性增强功能。由于操作系统及其安全问题的相似性，因此根据此处开发的分类法正式对特定的安全缺陷进行了正式分类。这种分类导致对安全缺陷和有助于分析新系统的更清晰了解。- 罗伯特·P·雅培（Robert P. Abbott），珍妮特（Janet S. Chin），詹姆斯。E. Donnelley，William L. Konigsford，Shigeru Tokubo和Douglas A. Webb，Lawrence Livermore实验室TR NBSIR-76-1041，1976年4月。

PDF纸（4 MB）
PDF分类学的图形树（12 kb）