CWE社区反馈的短期策略
CWE社区反馈的短期策略对于2007年秋季,MITER获得CWE社区反馈的短期战略如下。 CWE修改的类型CWE修改可以根据CWE及其消费者的总体影响,在三个不同的层面上进行。
- 系统性修改: 要求主动反馈来自社区,因为它们会影响许多利益相关者,并且可以对大量CWE节点进行广泛的修改。与当前的CWE版本相比,它们可能导致许多节点合并或分割。其他类型的节点可能完全被排除在外。
- 重大修改:影响多个节点,但本地化为CWE的一部分(例如路径遍历及其变体)或涉及大量添加或修改(例如为视图记录新的关系或更改特定字段的含义)。与社区的一些讨论对社区和CWE都会富有成果。
- 次要修改:小型和本地化,仅影响单个节点,例如:修复错别字和语法错误,更改名称,澄清描述和相关评论,填写空白字段,提供示例等。尽管总是欢迎反馈。
这些修改将具有不同的优先级。例如,某些次要修改可能会被视为高优先级,例如没有描述的节点,或者我们的赞助商或整个社区积极兴趣的变化。 一般社区审查过程
- 确定利益相关者并邀请参加CWE研究人员名单
- 记录可能影响CWE很大一部分的系统性问题。
- 将这些系统问题作为研究人员名单的“讨论点”提出。
- 管理社区反馈。
- 就讨论点做出最终决定。
- 确定所需的模式更改。
- 根据步骤5的最终决定对CWE节点进行修改。
- 根据优先级和社区兴趣对CWE节点进行其他高优先级编辑。
- 每次有明显增益的释放增量草稿。
- 根据需要重复步骤3至9,直到CWE变得稳定。
- 添加新节点。
- 发布CWE版本1.0。
- 根据需要进一步扩展CWE社区。
里程碑估计日期。
- 完成:确定利益相关者
- 9月13日:完成系统问题的文档和发布。
- 9月17日:识别并定义至少2次观看。
- 9月13日至24日:与社区有关至少2个系统问题(讨论点)并管理反馈。
- 9月13日至24日:对CWE节点进行高优先级的次要编辑,而CWE节点不太可能受到系统性变化的影响。
- 9月17日至21日:执行CWE模式修改。
- 9月24日:修改CWE模式以支持视图和相关关系。
- 9月24日至28日:进行系统编辑。
- 9月24日至28日:完成具有系统性变化的节点的高优先级专业和次要编辑。
- 9月28日:发布CWE草案7。
- 10月2日:在DHS-DOD软件保证论坛上宣布CWE更改。
- 10月4日及以后:继续进行系统性和其他修改。
草稿7的高优先级编辑草稿的高优先级编辑包括:
- 系统性:解决至少两个系统问题。
- 专业:至少支持2次观看。
- 专业/次要:处理Samate,NSA和DHS的传入专业和次要编辑。
- 次要:确保每个节点都有一个定义。
- 次要:修改CWE名称/描述,这些名称/描述不足以集中在潜在的弱点上。
- 未成年人:提供一致的命名(大写),并确保名称与描述一致。
- 未成年人:在需要时澄清节点描述。
- 未成年人:修复拼写和错别字。
文档版本:0.1日期:2007年9月13日 这是一份文件草案。它旨在支持维护CWE,并教育和征求特定技术受众的反馈。本文件不反映MITER Corporation或其赞助商的任何官方立场。manbetx客户端首页版权所有©2007,Miter Comanbetx客户端首页rporation。版权所有。如果未删除本段,则授予重新分配本文档的权限。本文如有更改,恕不另行通知。
|
