CWE的利益相关者分析
|
| 评估供应商 | 开发人员的代码扫描器、服务和其他类型的评估技术。 |
| 优先级:希望自己的能力尽可能全面的同时最小化假阳性/阴性。希望市场优势相对于竞争对手和识别自己的局限性。 | |
| 挑战:如何优化改进;如何扩展他们的能力迅速;如何展示结果;客户不知道如何寻求他们想要的东西。 | |
| 依赖性:学术研究人员、软件开发人员、应用漏洞研究人员、专门的社区。 | |
任务:
|
|
使用场景:
|
|
| 评估客户 | 评估技术和服务的购买者和使用者,由评估供应商提供。这些购买者的任何其他利益相关者在这个列表中,尤其是软件开发人员和应用漏洞研究人员。 |
| 优先级:想要找到合适的评估能力的需要;想要足够的文档了解问题和设计策略去解决问题;想知道哪个问题没有发现;想要减少假阳性/阴性。 | |
| 挑战: | |
| 依赖性:评估供应商,专业社区。 | |
任务:
|
|
使用场景:
|
|
| 软件开发人员 | 软件开发人员、设计人员、架构师和供应商,无论是商业或开源的,定制的或广泛使用。也可以评估客户。注意:这个小组包括内部开发团队,任何合同第三方开发者和营销/客户支持团队作为接口。 |
| 优先级:要优先考虑问题基于他们的相对成熟对安全发展;想要跟踪他们的最常见的错误,并确定改进的区域;想要准确的信息对于任何传入的漏洞报告应用漏洞研究人员;如果他们有一个工具或雇佣应用漏洞研究人员,他们具有相同的优先级评估供应商;可能需要证明符合要求的专业社区。 | |
| 挑战: | |
| 依赖性:评估供应商,应用漏洞研究人员、专门的社区。 | |
任务:
|
|
使用场景:
|
|
| 软件客户 | 客户的软件,无论是商业或开源的,定制的或广泛使用。 |
| 优先级:可能不关心具体的连续波,除了确定其严重程度和如何防止它们,和/或评估相对成熟的一个特定的软件包对发现的漏洞。 | |
| 挑战: | |
| 依赖性:软件开发人员、精炼脆弱性信息(RVI)提供者,和专业的社区。 | |
任务:
|
|
使用场景:
|
|
| 学术研究人员 | 研究人员在学术界。 |
| 优先级:可能更喜欢形式化概念和明确的定义。可能进行窄,集中研究或进行全面的分析。可能发展指标对整体风险进行评估。 | |
| 挑战:在抽象或显著差异角度看可能大大阻碍CWE的使用;缺乏足够的节点细节可以减缓研究;在节点可以减缓研究不一致。 | |
| 依赖性:软件开发者、应用漏洞研究人员、精制脆弱性信息(RVI)提供者,专业社区。 | |
任务:
|
|
使用场景:
|
|
| 应用脆弱性研究 | 检查软件的漏洞,使用手册和/或基于工具方法,静态和动态。包括专业顾问以及爱好者。 |
| 优先级: | |
| 挑战:可能没有访问他们评估的软件源代码或二进制文件,所以他们可能是有限的方法,专注于攻击,使诊断困难的潜在弱点。可能只分类与一个CWE复杂的问题(如链)。 | |
| 依赖性:评估供应商、精炼脆弱性信息(RVI)提供者,专业社区。 | |
任务:
|
|
使用场景:
|
|
| 精致的脆弱性信息(RVI)提供者 | 如CVE漏洞数据库,收集原始信息从各种各样的来源特定产品漏洞,然后改进,使它更有用的信息软件客户和管理员。 |
| 优先级:提供可操作的、准确的信息软件客户;使用或创建术语;了解技术细节的个人问题;分类问题的方式支持趋势分析报告的公开漏洞。 | |
| 挑战:经常使用不完整的信息,这使得CWE分类困难。可能只把复杂的问题(如链)CWE,有意或无意地。 | |
| 依赖性:软件开发人员、学术研究者应用漏洞研究人员。 | |
任务:
|
|
使用场景:
|
|
| 教育工作者 | 教师或教认证程序开发人员如何开发更安全的代码,和/或如何找到漏洞。 |
| 优先级:开发一个有效的课程的最新的和具有良好的覆盖;教基础知识;找到好的代码/实际的例子;覆盖广泛的语言。 | |
| 挑战: | |
| 依赖性:学术研究人员,应用漏洞研究人员、精制脆弱性信息(RVI)提供者,专业社区。 | |
任务:
|
|
使用场景:
|
|
| 专门的社区 | 这些都是专门的社区积极参与或CWE的兴趣。它们包含一个或多个其他利益相关者,但CWE可能有独特的要求。 |
社区的例子:
|
|
| 优先级:相差很大 | |
| 挑战:相差很大 | |
| 依赖性:相差很大 | |
| 任务:相差很大 | |
| 使用场景:相差很大 |
文档版本:0.11日期:2007年9月14日
这是一个草案。CWE的打算支持维护,从一个特定的技术教育和征求反馈观众。本文档不反映任何主教法冠公司的官方立场或其赞助商。manbetx客户端首页版权©2007,斜方公司。manbetx客户端首页保留所有权利。许可重新分配这个文件如果没有这段删除。本文档是可以不经通知自行调整。
