管理CWE中的节点重组
管理CWE中的节点重组根据CWE社区对提出的讨论点的解决,CWE可能需要进行一些重大的节点更改。两个都系统性和重大修改可能需要对树内的整个分支进行重组。 例如,与包含相关的修改可能建议所有视图省略某些低级细节,除了单个专门视图。与抽象相关的修改可能建议将单个更高级别的节点“卷起”到该节点时和/或从大多数视图中隐藏。
至关重要的是,节点重组应保留CWE中已经存在的信息量。但是,这些信息的存在及其代表方式尚不清楚。 CWE项目目前认为,尽管CWE在其名称上具有“弱点”一词,但还有许多其他与“弱点”密切相关的概念,其中一些概念对于满足某些CWE利益相关者的需求可能很重要。例如,CWE草案6具有许多“类别”和“导航”节点,这些节点使CWE更适合各个社区使用,即使它们本身并不专注于弱点。许多社区也使用了其他概念和术语,即使他们没有描述弱点本身,例如“跨站点脚本”。由于这些原因,CWE项目的领导者认为,CWE可能需要包括这些其他概念,也许是不同类型的节点。 CWE项目目前认为,虽然尚未精确定义的观点可能是管理节点重组和使CWE易于使用的有用机制。
节点重组的可能方法 由于任何重组都可能涉及CWE模式的明显变化,因此对于CWE社区而言,重要的是就可能进行重组的方法提供反馈。 一些想法在下面。
假设有4个节点。P是父母,A,B和C是孩子。P涉及特定的弱点,而A/B/C恰好描述了次要变体。 假设CWE研究社区同意,几乎不需要将A,B和C与父母区分开。 一些选项可能是:
- 将P作为父节点。创建一种新型节点 - 说“ sub -type” - 具有与常规节点完全相同的架构。标签节点A,B和C为具有此“子类型”,并添加仅导致这些节点显示在相关视图中的注释。这些节点将在CWE中具有成熟的节点,并具有自己独特的数字标识符,但标记为“ sub-type”节点。
讨论:在一个视图中,相同的节点可能是“子类型”,在另一种视图中“常规”。由于鉴定出低级变体,CWE中的标识符总数可能会大大增加。但是,在大多数观点中,这些大总数可能不存在。此外,社区讨论将产生指导,以控制这种潜在的爆炸。注意:MITER尚未确定如何实施和管理视图,此外可能会引入其他并发症(或解决方案)。
- 将p作为父节点,并扩展CWE模式以支持附加到父节点的“变体”。A,B和C可以转换为这些变体。他们将不再是CWE中的单个节点。他们只能具有与P相关的身份。想要额外粒度的CWE用户可以参考这些“变体”。
讨论:某些“变体”可能具有与成熟的节点相同的广泛信息,因此,将它们视为单独的实体,在模式方面是没有意义的。根据过去的CVE经验,“ P.1”样式符号并未被广泛采用。同样,使用诸如“ 12.4”之类的数字可能会导致人们误解哪个数字是基本CWE标识符。最后,这些符号可能很难维护,尤其是如果需要重组变体。
- 将p作为父节点,将a,b和c的内容添加到详细的描述,上下文注释和/或p(即现有字段)中的示例。然后,完全删除A,B和C;它们的原始内容仍保存在P中。
讨论:这降低了CWE的实用性,这些利益相关者需要使用a,b和C提供的低级区分。如果信息结构不佳,那么很难检索。
- 这鼓励社区建议其他选项。
注意:来自CWE节点的任何真实的“弃用”都不会完全从列表中删除该节点;至少,将有一个简短的解释,以及指向仍然活跃的任何相关节点的指针。
假设CWE研究社区定义了某些标准,该标准限制了CWE中可以定义哪些概念。假设一个节点n不符合这些标准。 一些选项可能是:
- n的内容可以完整保存,但是n只能通过“综合”视图提供,因此很少遇到,希望很少使用。特殊标志对于消费者省略此类节点可能很有用。
- n可以“弃用”,这将消除其大部分内容并将其从大多数视图中忽略。该节点的使用将被积极灰心。
- 这鼓励社区建议其他选项。
假设一个节点以反映CWE中不支持的某种视角的方式描述和组织。例如,社区可能会决定仅关注攻击的节点应与CAPEC更紧密相关,而不一定被视为CWE中的独立实体。或者,即使某些节点与弱点没有基本关系,例如动机/意图子树(CWE-504)也可能有用。 注意:此讨论与观点相关的次要修改无关,例如将节点的名称更改为更紧密地反映所识别的潜在弱点。 一些选项可能是:
- 如果节点在某些观点中具有有用的作用,例如为了支持导航或分组,可以保留它。该节点可以以表明它与CWE中任何“支持”视角没有关联的方式标记。
示例:中间人(CWE-300)与攻击有关,可以作为仅攻击节点的突出显示。可以提供指向CAPEC ID(94)的指针,并提到了相关弱点的指示。但是,CWE可能不会尝试使用单个CWE节点捕获所有可能的攻击。
- 如果节点正在识别社区同意的概念,并且它不能发挥有用的导航或组织作用,那么它可以被贬低。如果该概念对社区很重要,则可以修改CWE模式以提供相关标签或元素。
讨论:CWE中很少有与此选项有关的节点,尽管CWE团队很难将动机/意图子树(CWE-504)应用于CWE的其他领域,这很大程度上是由于观点差异。
- 这鼓励社区建议其他选项。
文档版本:0.1日期:2007年9月13日 这是一份文件草案。它旨在支持维护CWE,并教育和征求特定技术受众的反馈。本文件不反映MITER Corporation或其赞助商的任何官方立场。manbetx客户端首页版权所有©2007,Miter Comanbetx客户端首页rporation。版权所有。如果未删除本段,则授予重新分配本文档的权限。本文如有更改,恕不另行通知。
|
