CWE的观点
|
| V1 | 编程语言特定的 |
| 当编程或分析特定语言(Java、C、Perl、等等),这些都是你应该注意的问题。运行时和编译,以及其他与语言特征。 | |
| V2 | 特定于平台的 |
| 当一个程序运行在一个平台(Windows、UNIX等)或在特定的环境(32/64位,多处理器),有一些问题,应该检查除了实际使用的语言。例如,反斜杠的路径,文件名点,并发性 | |
| V3 | 特定于技术的 |
| 是通用的弱点,还是主要是相关的,或依赖于某些技术类:网络,操作系统,数据库? | |
| V4 | 常见的弱点链 |
| 当浏览一个弱点,它是有用的了解相关问题。适当的修复可能不会躺在同样的地方,结果是,他们发现弱点通常导致或造成一个弱点是有用的支持修补和可视化更抽象的弱点的关系。 | |
| V5 | 分类/分类 |
| 从一个更加正式的分类的角度来看,最合适的抽象级别为各种弱点可能是重要的。 | |
| V6 | 共性 |
| 多么容易犯这个错误的人吗?多长时间这是弱点见过吗? | |
| V7 | 风险/ Severity-based |
| 相关CWE确保所有“高”风险的弱点已经被解决。 | |
| V8 | Feature-specific |
| CWE,它与其他编程或安全相关概念吗?它通常涉及或者要求特性,比如身份验证、授权、许可、文件访问,或线程? | |
| V9 | 特定于资源 |
| 是弱点关联到一个特定的系统资源,比如内存,文件,或网络套接字? | |
| V10 | Attack-based |
| 通常,外部人员或审计人员可能执行测试运行代码。这种情况下,他们的研究结果很可能被描述为攻击或漏洞。如果是这样的话,一个视图支持连续波按因果脆弱性和/或分组触发攻击可能是有用的。 | |
| V11 | 《创世纪》 |
| 基于分解的问题,他们通常发生在软件开发阶段,如设计或实现。 | |
| XS | CWE横截面 |
| 少量的多样化CWE节点说明CWE的广度和深度。 | |
| SAMATE | SAMATE片 |
| 的优先CWE节点被SAMATE关注。 | |
| NVD | NVD片 |
| CWE节点的设置,NVD将使用分类条目。 | |
| 无 | 无安全编程的信息 |
| CWE节点的设置,无安全编程计划强调了开发人员的意识。 | |
| OWASP | OWASP前十名 |
| CWE节点与OWASP前十名。 |
文档版本:0.1日期:2007年9月12日
这是一个草案。CWE的打算支持维护,从一个特定的技术教育和征求反馈观众。本文档不反映任何主教法冠公司的官方立场或其赞助商。manbetx客户端首页版权©2007,斜方公司。manbetx客户端首页保留所有权利。许可重新分配这个文件如果没有这段删除。本文档是可以不经通知自行调整。
