常见的弱点枚举

CWE术语表定义

LANGSPEC:特定于语言的问题和例子
LANGSPEC:特定于语言的问题和例子

CWE有条目描述具体弱点只有某种语言或偶函数在一个语言。有两种不同类型的这些问题:

1)违反了一个特定于语言的标准。这包括条目,比如CWE # 245, J2EE坏实践:getConnection()或CWE # 383, J2EE坏实践:线程。

这些条目不一定是缺点,但他们可能表明代码中容易出错的地方或地区漏洞可能被引入。目前,这些条目都偶尔出现CWE在不同的父母,但是没有简单的方法来控制和审查所有这些问题。

2)独立于语言的特定于语言的例子的弱点。例如,CWE # 481分配,而不是比较和CWE # 597,错误的字符串比较。

后者是特定于Java,但是与其他语言和相关后果可以有所不同。前者是用C编写的,但是它的后果和检测能力不同的语言。

讨论可能的解决方案/问题

• CWE离开。
• 列举每个函数专用变异的CWE条目。
• 包括所有函数专用问题为例在更一般CWE条目。
• 创建一个新类型的条目将允许捕捉每种类型的函数专用问题作为一个个体中间平巷在更一般的弱点CWE条目。
• 创建一个功能无关条目识别更抽象的弱点,包括每个相关函数专用CWE条目。例如,考虑CWE # 573,未能遵循规范。
• 创建一个功能无关条目识别更抽象的弱点和排除所有当前函数专用CWE的条目。
• 将它们作为一个条目,每种语言的特定属性的详细条目。
• 其他的想法吗?

相关用例

评估供应商:寻找不同的问题基于所使用的语言。

评估客户:挑出缺点,适用于语言使用的代码库。

学术研究人员:帮助识别特定于语言的问题改进语言及其结构。

应用脆弱性研究人员:调整测试和研究的具体问题正在研究的语言。

精致的脆弱性信息(RVI)提供者:识别可能的问题在特定语言和搜索趋势。

教育者:有助于发现和教特定于语言的问题。

软件的客户:不适用。

软件开发人员:确定特定于语言的问题他们可能必须意识到。帮助选择“更安全”的语言。

建议

CWE研究员社区强烈建议提供反馈CWE团队或研究人员关于这个建议列表。

没有最终决定应不先咨询ISO / IEC项目22.24772:“指导避免漏洞通过语言选择和使用”。本项目主要针对特定于语言的结构安全的影响。看到http://aitc.aitcnet.org/isai/。

根据CWE的覆盖范围,枚举和保养的所有功能和特定于语言的条目(或“子节点”)将提高特异性和完整性。这种级别的粒度对于许多CWE消费者可能不会有用,尽管正确构造观点可以解决的问题,会有“太多”CWE的节点。此外,一些问题可能重叠上下文特定的问题或明显模糊,大多数连续波可以包括孩子。

因此,在这个时候,横切CWE团队建议追求一个函数的方法和特定于语言的条目合并成一个更抽象的条目更-或语言独立的函数,而清晰地捕捉特定的变体。注:定义的节点重组机制仍在;看到节点重组页面可能的方法。

这将意味着所有相关连续波,包括CWE - 111, CWE - 245, CWE - 382等,合并成一个更抽象的CWE及其内容时还会增加补充例子,或“子节点”。However, the level of abstraction for the merged node should not be too high.

笔记

下面是初步工作为了更清楚地识别问题出现在CWE。以上问题不解决应该带到整个列表的注意,特别是如果CWE ID是缺少下面的注释。

类型的特定于语言的问题:

• 不安全使用函数/ Lang规范或标准* 111,245,382,491,579,581,586,383
• 可能合法或非安全相关功能问题,程序员可能表示一个错误,可能上下文特定的或象征的品质。具体到一个特定的语言或函数。* 467,481,482,484,558,560,572,580,584,587,597
• 失败的保护机制/违反特定于语言的普遍政策或函数* 473,582,583,616,621,98

选择视图条目的方法:

• 特定功能与安全的影响
• 特定功能没有安全的影响
• 特定于语言的结构
• 语言的结构

另一个选择:

• PHP
• Java
• C / c++
• …等。
• 独立于语言的结构,影响不同的语言

例子的完整列表

CWE节点都受此影响上市是一个讨论点单独的页面。

文档版本:0.1日期:2007年9月13日

这是一个草案。CWE的打算支持维护,从一个特定的技术教育和征求反馈观众。本文档不反映任何主教法冠公司的官方立场或其赞助商。manbetx客户端首页版权©2007,斜方公司。manbetx客户端首页保留所有权利。许可重新分配这个文件如果没有这段删除。本文档是可以不经通知自行调整。