常见的弱点枚举

CWE项目合作用户体验工作小组(UEWG),定义了一组”CWE用户角色“那识别CWE用户和相关”CWE用户故事”,如何使用CWE轮廓和可以获得的好处。CWE的目标是教育社区CWE如何使用不同的利益相关者。下面列出CWE用户角色确认,用户角色与用户故事的例子定义。

注意,CWE用户角色和用户故事下面是正在开发的积极CWE UEWG。额外的用户角色和用户故事,任何更新,将作为未来CWE的一部分发布。

CWE用户角色

• 软件开发人员/保证工程师——那些创建、维护和测试软件,使用各种语言和框架,谁想要了解,检测,避免缺点。


• 硬件设计/验证工程师——那些创建、集成或验证硬件组件在微电子和想了解的纪律,检测,避免缺点。


• 安全架构师——那些设计安全的软件和硬件解决方案,包括软件的集成和流程定义,在高水平。它们定义必要的需求基于最佳安全实践减少潜在的攻击表面进行安全风险评估和缺陷检测。


• 安全研究员/分析师——那些想方设法寻找弱点的攻击一个产品使用手册和/或自动化技术,然后报告发现供应商和/或公众。


• 技术作家——那些先进的通信技术概念清晰,准确,全面对其预期的受众尽可能(例如,代码分析工具用户或系统设计师)。


• 教育者——教师、教授、顾问或认证项目,培训开发人员和系统设计师如何设计更安全的产品,开发更安全的代码,定义防御措施,和/或如何找到漏洞。

软件开发人员/保证工程师CWE用户故事

用户描述(谁?)

软件开发人员大多集中在创建/软件实现阶段根据软件需求,指令由项目经理和设计架构师包括安全架构师。

故事(什么?)

在新的SaaS解决方案的实现阶段,软件开发人员必须减轻所有检测和报告由项目业主或安全软件架构师潜在的弱点。通过使用CWE数据示范例子和应对潜在用户可以更好地理解特定的弱点的性质和更好的准备缓解/补救计划。

好处(为什么?)

通过使用信息从CWE程序软件开发人员可以减轻或纠正弱点的一个精确的方式。使用CWE数据可以帮助软件开发人员更好地理解可能的缓解措施的发现软件的缺陷。

硬件设计/验证工程师CWE用户故事

用户描述(谁?)

硬件验证工程师负责测试和评估一个硬件设备根据规范。他们负责验证安全架构师和硬件设计人员提供的安全需求。他们与硬件设计师紧密合作,确保正确理解硬件的行为在创建验证计划。他们广泛使用电子设计自动化(EDA)工具正式的验证,仿真和硬件仿真。

故事(什么?)

相关的连续波和安全需求确定产品的安全体系结构团队。一旦创建了硬件设计的硬件设计,硬件验证工程师的安全需求和地图的核查计划。根据验证计划,他们创建测试,SystemVerilog断言(上海广电)和部署安全验证工具来确保他们满足指定的安全需求,安全架构师。

硬件工程师完成验证后,他们需要提供验证证据安全架构师和工程管理的安全完毕。这包括功能覆盖率指标,确保所有测试通过,通过安全验证工具的输出。安全架构师然后使用这些信息来确保适当的任何相关的连续波的报道。

好处(为什么?)

验证证明验证工程师创建常被用来支持符合安全要求,构建基于各种行业标准。许多标准使用CWE缺陷数据定义框架。硬件验证工程师可以使用源CWE数据更好地定义特定的安全需求的证据。

安全架构师CWE用户故事

用户描述(谁?)

安全架构师负责安全的应用程序/硬件设计。他们必须考虑整个产品的目的,未来的部署和使用,并确保它的所有方面的精心设计和保护安全的观点。所有这些工作的目的是一个很深的风险评估过程,确保最终的产品是安全的。

故事(什么?)

安全架构师将审查新的SaaS解决方案。在风险评估过程中,有必要验证发现各种安全扫描仪(科协和DAST)和威胁建模工具。CWE的弱点可以验证发现可用数据更好地理解的本质的弱点。用户可以看到示例使用一个特定的弱点和可能的缓解措施。也可以看到其他类似的相关弱点从特定的弱点分类可以帮助避免潜在的问题,因此在未来漏洞。安全架构师可以使用的“操作”视图CWE数据看到有用的技术信息关于这个特定的弱点。例如,如果CWE-23相对路径遍历,安全架构师可能会认识到这个弱点也映射到OWASP破碎的访问控制风险,顶部1 web应用程序的安全风险,并采取必要的措施对更深层次的验证。

好处(为什么?)

CWE程序中的所有信息可以帮助执行更详细的风险评估和提供更健壮和最终产品的那么脆弱。使用CWE的数据可以显示缺陷和历史之间的关联cf引起的特定的弱点。它还可以帮助主动识别其他类似缺点弱点相同类型的分类,提高了服务的整体安全态势/应用程序/硬件。使用CWE数据可以帮助极大的安全架构师在工作中更好地理解的本质弱点和最后帮助采取补救措施的最终决定。

技术作家CWE用户故事

这个用户故事包括两个例子,技术作家和产品安全事件反应小组(PSIRT)工程师。

例# 1 -技术作家:

用户描述(谁?)

技术作家负责发布内容,使读者能够理解一个技术概念,过程,或产品。技术作家可能等项目工作产品文档,流程文档,用户界面(UI)文本、技术报告,或博客文章。他们的目标是将技术信息转化为清晰、简洁,和可操作的内容。

故事(什么?)

一个技术作家必须创建准确的内容。主要职责包括收集信息的来源和主题专家。在编写产品文档,例如,技术作家咨询工程师和产品经理收集规范和要求。当编写网络安全内容,技术作家咨询与研究人员和威胁是指如CWE了解漏洞并利用机制。一个技术作家也必须理解他们的观众。在网络安全,例如,技术作家必须使用一致的术语,观众可以很容易地解释,任何人从CISO执行系统工程师。最终,技术作家创造的内容必须准确地传达的风险级别,一个弱点提出了一个系统或网络。结果是使观众能够采取适当的行动,帮助减轻风险。

好处(为什么?)

在网络安全技术作家,CWE数据帮助技术作家理解弱点,使用的术语,并提供技术弱点的例子。最终,CWE数据帮助他们编写准确内容报道,博客和其他安全相关的内容。

例# 2 - PSIRT工程师

用户描述(谁?)

PSIRT工程师监控漏洞报告和协调分流、补救和公开的沟通过程。PSIRT工程师还与第三方合作工艺安全更新和提供更新PSIRT组织的客户和合作伙伴。

故事(什么?)

CWE标识符和弱点类型名称通常漏洞报告或安全公告中提到的提供更多的洞察了CVE漏洞或。使用的连续波是PSIRT工程师创建高层但可靠的漏洞描述他们的通信。通过阅读CWE参考和一些细节帮助消费者实际风险评估他们的环境基础上的类别或类型的弱点,所以他们可以评估正常所需要的保护,即。,要么使用安全控制作为变通方法是否存在或通过应用修复。

好处(为什么?)

利用CWE漏洞报告中的信息帮助PSIRT工程师是透明的信息沟通问题的根源解决的修复。CWE可以概括一个重要方面的缺陷,供应商没有披露或硬件的代码块特别但仍为用户提供足够的信息对漏洞做实际的风险评估,以确保他们的系统。PSIRT工程师的一个额外好处是,当CWE分配给安全漏洞,它可以帮助比较CWE排名前25位的列表CWE计划每年产生的最常见的和广泛的软件安全漏洞。这个可以用来找到常见的连续波的模式帮助优先考虑和研究你的产品如果有任何改进应在你的安全软件开发过程和安全工具。