CWE

常见的弱点枚举

一个由社区开发的软件&硬件缺陷类型的列表
2021 CWE最重要的硬件的弱点
CWE最危险的弱点
>社区>软件保证>工程攻击
ID

工程攻击

软件保证活动的最大影响来自于思考如何攻击者会尝试访问,控制或影响系统一旦操作。太长,思考这个问题已经降级到“安全专家”,他们不是那些可以做任何事情及时和有效的方式你是

微妙的变化在设计、建筑、和操作概念的一种方式,添加安全特性,处理特定的攻击。不能忽视是一个集中的分析软件将做失败的组织和什么样的损害是最大的,如果不删除或封锁了在软件开发过程。

考虑到攻击者

通过考虑攻击者和使用攻击模式中可用的集合常见的攻击模式枚举和分类(CAPEC™)倡议,我们可以帮助识别机会提高韧性、完整性和可靠性的基于软件的任务功能,以及使我们的软件更容易受到攻击。

CAPEC攻击倾向于遵循的模式,可以在系统软件利用脆弱的弱点,网络流量、供应链、甚至人类使用的系统。对于那些CAPEC条目处理攻击软件,他们利用列出的弱点CWE标识和名称。同样,这些连续波CAPEC条目列表,它们容易。

工程攻击

如上图所示,软件保证评价应该从CAPEC识别适用的攻击模式进行“系统”可以接受,和弱点在CWE那些攻击模式是有效的。接下来,结果和一组记录的应提供推荐的方法,概述了如何有效地消除和减轻连续波通过架构和设计的选择,包含安全控制和功能。源代码也包含评估与分析、动态分析、渗透测试和任何其他方法解决这些弱点。这是新的描述的基本方法20004年ISO / IEC技术报告,“精炼软件脆弱性分析根据ISO / IEC 15408和ISO / IEC 18045”

上面红色的阴影和行显示路径连接和有针对性的弱点,攻击者可以减轻或避免和控制项的技术影响,一个组织的使命和操作的操作影响。

我们使用上面的“系统”这个词,因为第一次迭代的分析应该发生在只有操作概念和概念架构定义。虽然分析的忠诚是相当粗糙,这个早期阶段的最佳时机是在考虑攻击你的系统将面临什么,和是否有设计、架构、物理成分选择或改变操作的概念可以大大有助于减轻,管理或控制这些攻击以最小的成本和进度的影响。

在程序的进化的细节实现将允许更细的粒度分析的弱点和潜在的攻击你的系统可能面临。选择了或者正在最小化攻击表面,并支持证据显示你有减轻或消除的一些攻击可以利用的弱点。在这一点上,各种各样的检测方法可以应用到您的项目,如运行静态代码分析工具,设计评审,解决设计、动态安全分析和测试用例完成。添加所有证据和理由的信心,利用的风险已经降低到一个可接受的水平。

作为保证分析的一部分你想要描述如何使用CAPEC追踪潜在攻击的报道分析您的系统。使用攻击者的破坏性的视角有助于确保弱点评估和缓解策略利用没有错过了常用的攻击方法或技术。

回到顶部

发现的潜在的可利用的弱点攻击模式

当你检查系统的潜在的软件架构/设计和原型源代码弱点,这些标识为被攻击模式应该采用CWE潜在的可利用的描述和跟踪问题。描述你将如何使用CWE 1)更好地理解和管理软件架构和设计相关的弱点,和2)使更有效的选择和使用的软件源代码安全工具和服务发现的弱点和操作系统,分析了在开发和维护。

回到顶部

创建您的程序

上述方法也符合正在开发的系统的要求美国国防部(DoD)。2011年,该项目保护计划(PPP)修订要求项目提供特定软件保证利用连续波和CAPECs进展信息,以及常见的漏洞和风险敞口(CVE®)标识符。基本上,美国国防部定位这三个作为讨论保证活动的词汇和测量报告和跟踪/风险管理工具系统在开发和维护。

CVE标识符

PPP反应国防部项目将需要讨论(程序)CVE标识符是如何被利用的协调和解决系统中软件安全漏洞和风险的商业软件和开源软件组件或库。主题将包括他们如何使用CVE标识符识别和优先考虑基于1)缓解,2)潜在的漏洞在开发环境中,测试环境,或正在开发的系统,允许攻击者执行命令作为另一个用户,3)获得的数据与指定的访问限制数据,4)冒充另一个实体,和/或5)进行拒绝服务。

人们经常使用普通危险得分系统(CVSS)帮助优先和排名问题的严重性CVE标识符。许多供应商包括CVSS分数CVE标识符在公开报告。

CWE标识符

CWE CAPEC主要是用以分析/评估软件,开发/开发,与CVE的关注商业和开源软件的错误。商业和开源产品的错误导致漏洞(例如从集合中,cf) CWE的弱点;但买方/用户包不一定有见解CWEs-just公开已知的漏洞(例如cf)结果。

赛门铁克、苹果、惠普和EMC公开宣称,他们在他们的软件开发生命周期(SDLC)中使用CWE。CWE标识符是用来跟踪的问题解决在开发活动。

同样地,的成员SAFECode(微软、Adobe、西门子、杜松、SAP、赛门铁克、诺基亚、EMC)使用CWE的倡导者基本实践安全软件开发第二版:最有效的安全指南开发实践在今天使用

CAPEC标识符

CAPEC标识符是被用来帮助开发人员、测试人员和系统工程师理解如何攻击他们的系统的复杂性。

回到顶部

U。年代联邦报告要求和责任

美国联邦政府,联邦信息安全管理法案》(FISMA)现在必须对他们的软件保证活动报告一些细节。的FY2012财政FY2013CIO FISMA国土安全部出具报告指标要求,在4.2节中,首席信息官们利用CWE CAPEC和水煤浆讨论什么是为了寻找弱点在non-COTS释放。文档还要求的描述方法用于评估这些问题,提供多种可能性。具体地说:

  • 网络扫描仪为基于Web的应用程序
  • 静态代码分析工具
  • 手工代码评审(特别是弱点不是由自动化工具)
  • 动态代码分析工具
  • 笔测试攻击类型不是由自动化工具
回到顶部
更多的信息是可用的,请选择一个不同的过滤器。
页面最后更新:2018年4月2日

使用常见的弱点枚举(CWE)和相关的引用从这个网站的使用条款。CWE赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2006 - 2023,斜方公司。manbetx客户端首页CWE、水煤浆、CWRAF, CWE标志是斜方公司的商标。manbetx客户端首页