质量:质量指标
质量:质量指标
“质量指标”描述的属性代码相关的质量和安全,但它们并不是实际的代码本身。他们没有直接影响软件的行为。 一些例子: 546 -可疑的评论
561 -死代码
563 -未使用的变量
547 -安全相关的常量(使用硬编码的常量) 从概念上讲,“大型攻击表面,”或复杂性度量代码或McCabe等质量指标。 使用strcpy()这样的函数可能会被视为一个质量指标。可以安全使用strcpy()时,它的使用往往是气馁由于脆弱性较高风险。
问题1:包含 一些用户可能会认为CWE节点应该只识别特定的安全问题,因为他们在架构、设计、实现。这些可能包括人员、消费者和供应商。对于这些用户来说,质量指标不应CWE节点。然而,他们可以给消费者一个非常有用的如何,体格健美的和维护软件,他们也可能是有用的在早期的分析阶段,在研究人员可能使用质量指标来帮助集中在一个特定的产品的一部分。开发人员可能会发现结果安全工具是有用的。 可能的解决方式: 1)反对所有质量指标。注:定义的节点重组机制仍在;看到节点重组页面可能的方法。 2)保留任何质量指标易于理解与安全直接相关。 3)只保存在可获得的代码的质量指标;例如,“可疑的评论”,可能是“死代码”是不可到达的,但“未使用的变量”是技术上可获得的。 4)控制所有质量指标条目,将他们“质量指标”的类别,因为它可以辩称,程序员的代码质量可能是一个指标的技巧,所以质量差是一个指标的概率更高的弱点。此外,低质量的代码增加维护成本和增加的机会以后维护或使用可能会导致一个问题,由于降低了可读性。
相关用例 评估供应商:可以(也应该)国旗各项质量指标,可能咨询的消费者和第三方人员,更不用说实用程序开发人员。 评估客户:有用当解释潜在问题由供应商标记。 教育者:只有模糊教学有用的关于良好的编程实践。 学术研究人员:不适用。 应用脆弱性研究人员:混合效用;在初步分析可能是有用的关注可疑代码的部分,但被认为是不太重要的核心问题;不可能在这种级别的详细报告。 精致的脆弱性信息(RVI)提供者:可以用来建立趋势之间的质量指标和接近利用expoited漏洞。 软件的客户:帮助产品决策,尤其是质量指标是很有用的指标。 软件开发人员:用于确定自己的代码“质量”,独立的安全相关性,以确保良好的开发实践正被人跟踪。
建议 CWE研究员社区强烈建议提供反馈CWE团队或研究人员关于这个建议列表。 横切CWE团队建议CWE应该只包含质量指标,证明或可能影响安全。CWE不应该排除质量指标与安全,因为不这样做可能会导致不必要的偏向某些实践没有被证明对安全的影响。然而,决定到底是与安全相关的研究的主题列表来决定。
例子的完整列表 CWE节点都受此影响上市是一个讨论点单独的页面。
文档版本:0.1日期:2007年9月13日 这是一个草案。CWE的打算支持维护,从一个特定的技术教育和征求反馈观众。本文档不反映任何主教法冠公司的官方立场或其赞助商。manbetx客户端首页版权©2007,斜方公司。manbetx客户端首页保留所有权利。许可重新分配这个文件如果没有这段删除。本文档是可以不经通知自行调整。
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|
