CWE社区需求和建议CWE兼容性和CWE的有效性文档版本:1.0日期:2011年7月28日, 这是一份报告草案,并不代表官方立场的斜方公司。manbetx客户端首页©2006 - 2011,manbetx客户端首页斜方公司。保留所有权利。许可重新分配这个文件如果没有这段删除。本文档是可以不经通知自行调整。 作者:
表的内容
表的内容
定义
定义
准确的百分比——安全元素的百分比在审查示例引用正确的CWE标识符。 能力——一个评估工具,集成开发环境(IDE),代码检查工具,代码检查编译器,数据库,网站,咨询、提供信息或服务实现,设计、架构级的弱点,会导致一个可利用的安全漏洞的软件。 有效性测试——确定的过程能力是否CWE有效。 地图/映射——存储库中的弱点元素之间关系的规范和CWE项目相关的元素。 老板托管人(真实的人或公司)有责任能力。 存储库——一个隐式或显式的与安全相关的软件弱点元素集合支持能力,例如,一个数据库的安全弱点,组模式代码分析器中,或者一个网站。 审查——确定是否CWE-Compatible能力的过程。 审查机关——一个实体执行审查或有效性测试和授权授予CWE-Compatible或CWE-Effective状态(斜方是唯一审查机构在这个时候)。 检查版本——CWE的过时的版本被用于确定CWE兼容性或CWE能力的有效性。 安全元素——一个数据库记录,评估调查,签名,等等,这是有关一个特定的安全弱点。 任务——工具的调查、检查,签名,等,生产安全信息(即执行一些行动。,安全元素)。 测试结果-数据代表有效性测试的结果。 工具——一个软件应用程序或设备检查的一个软件,二进制,或其他工件,产生安全漏洞信息,例如,一个源代码安全分析仪,代码质量评估工具,代码检查编译器或一个开发环境。 用户——消费者或潜在消费者的能力。 脆弱性——任何疲软的软件,可以利用违反一个系统或它所包含的信息(基于ITU-T X.1500)。 弱点——缺点或缺陷的软件代码,设计,建筑,或部署,可以在某种程度上成为一个漏洞,或可能导致引入其他漏洞。
高级需求
高级需求
下列事项定义的概念、角色和职责有关CWE标识符共享数据的正确使用单独的安全弱点功能(工具、库和服务),允许这些安全弱点功能一起使用,和促进安全弱点的比较工具和服务。 先决条件2.1)能力的所有者必须是一个有效的法律实体,即。一个组织或一个特定的个体,一个有效的电话号码,电子邮件地址,和街头的邮件地址。 2.2)能力必须提供额外的价值或提供的信息之外,CWE本身(即。、名称、描述、风险、引用和相关弱点信息)。 2.3)功能所有者必须为审查机关提供技术联系人是谁有资格回答问题相关的映射精度,任何CWE-related功能的能力,和协调能力的测试评估其有效性识别cw的支持。 2.4)必须向公众开放的能力,或一组消费者,在生产或公共版本。 2.5)CWE兼容性功能所有者必须为审查机关提供一个完整的“CWE兼容性要求评定表”。 2.6)业主必须提供审查的能力权威与自由访问存储库,以便存储库的权威可以确定满足所有相关的映射精度要求。 2.7)能力的所有者必须允许审查机关使用存储库来识别任何应该添加到CWE的弱点。 2.8)CWE有效性的能力必须CWE兼容。 2.9)CWE有效性能力所有者必须为审查机关提供完成“CWE有效性需求评估形式。” 2.10)CWE有效性的能力拥有者必须提供与有效性测试结果,以便审查机关权威可以确定能力满足所有相关的有效性要求。 2.11)能力的所有者必须同意遵守所有的强制CWE兼容性和有效性要求,包括强制要求特定类型的能力。 功能2.12)CWE兼容性能力必须允许用户使用CWE定位安全元素标识符(“CWE-Searchable”)。 2.13)CWE相容性能力向用户呈现安全元素时,它必须允许用户获取相关CWE标识符(“CWE-Output”)。 2.14)CWE兼容能力的必须准确链接安全元素的映射到适当的CWE标识符(“映射精度”)。 2.15)CWE兼容性功能的文档必须充分描述CWE CWE兼容性,和如何使用CWE-related功能的能力(“CWE-Documentation”)。 2.16)CWE兼容能力的公开可用的文档必须显式地列出CWE标识功能所有者认为能力覆盖的功能(“CWE-Coverage”)。 2.17)CWE兼容能力的公开网站应该提供能力的CWE-Coverage CWE报道声称代表(CCR) XML文档(s)。 2.18)CWE有效性的结果能力的评估的测试集CWE标识符(CWE-Coverage列为能力)必须张贴在CWE的网站。(“CWE-Test结果”)。 2.19)使用功能必须表示日期CWE版本(版本使用”)。 2.20)能力必须满足特定类型的能力,任何额外的需求中指定附录A。 2.21)其分布媒体的功能必须满足所有要求,指定附录B。 2.22)能力不需要做下列:
杂项2.23)如果能力不满足以上的所有适用的要求(2.1到2.22),那么能力拥有者不得做广告是CWE-compatible或CWE-effective。
精度
精度
CWE兼容性只有促进数据共享和相关功能的映射是准确的。因此,CWE-compatible功能必须符合下列最低精度要求。 3.1)存储库必须有100%的准确性。 3.2)在审查期间,能力的所有者必须纠正任何映射错误发现审查机关。 3.3)审核期后,能力拥有者应该正确的映射误差在合理的时间帧错误最初报道后,即,在两(2)版本的功能库或六(6)个月,无论短。 3.4)功能所有者应该准备和签署一份声明,最好的功能所有者的知识,没有错误的映射。 3.5)如果能力是基于或使用另一个CWE-compatible能力(“源”的能力),和能力拥有者成为意识到映射错误源功能,那么能力所有者必须报告这些错误能力的源能力。
有效性
有效性
有效性是专注于提供潜在用户的功能可见性的能力能够识别出相应的软件的弱点。洞察的能力有能力找到弱点,面对不同层次的复杂性是感兴趣的用户,当他们正在考虑使用功能或者依赖别人使用能力的结果。因此,CWE-effective功能必须符合下列最低限度的有效性要求。 4.1)使用适当的部分“CWE有效性需求评估形式”能力的所有者必须声明这CWE标识他们声称他们的能力是有效的定位。这可以通过使用CWE报道声称代表(CCR) XML文档(s)。 4.2)CWE的标识符声明,功能所有者必须请求适当的测试集,这样能力的所有者可以使用能力评估测试集的所有弱点宣布CWE对应标识符。 4.3)在商定的时间框架内,功能所有者必须提交他们获得评估测试集的结果与他们的能力。 4.4)结果必须每个评估测试集文件列表,并为每一个弱点的行号位于适当的CWE标识符。 4.5)能力的所有者必须准备和签署一份声明同意发布的功能测试结果CWE网站。 4.6)功能所有者必须提交一份修订“CWE有效性需求评定表”的更新清单CWE标识他们声称他们的能力是有效的定位为了夺回CWE有效性测试一组不同的标识符。这可以通过使用一个更新CWE报道声称代表(CCR) XML文档(s)。
文档
文档
下列条件适用于文档提供的能力。 5.1)CWE的文档必须包含一个简短的描述和CWE兼容性,可以基于逐字CWE的文档部分网站。 5.2)文档必须描述用户如何找到个体安全能力的存储库中的元素使用CWE标识符。 5.3)文档必须描述用户如何获得CWE标识符从单个元素功能的库。 5.4)如果文档包含一个索引,那么它应该包括引用CWE-related文档在术语“CWE。”
CWE版本使用
CWE版本使用
CWE的用户必须知道版本中使用功能的库对其CWE的映射。能力所有者可以表明一个映射的货币使用CWE映射更新版本或日期。 6.1)能力必须确定CWE版本或更新日期用于创建或更新映射至少以下之一:改变日志,新特性列表,帮助文件或其他机制。能力是“最新”对该版本或更新日期。 6.2)每一个新版本的功能应该是最新的关于CWE版本发布不超过四(4)个月前是提供给用户的能力。如果能力不能满足这个要求,那就是“过时的”。 6.3)功能所有者应该宣传如何迅速将更新功能的存储库后新的CWE版本或更新可用CWE网站。
撤销CWE的兼容性
撤销CWE的兼容性
7.1)如果审查当局已经证实能力CWE-compatible或CWE-effective,但在稍后的时间审查机关有证据表明,需求没有得到满足,那么审查机关可以撤销其批准。 安装7.1.1)检查机关必须确定具体的需求没有得到满足。 7.2)审查机关必须确定功能所有者的动作或声称是“故意误导。” 7.2.1)审查机关解释“故意误导”在其自由裁量权。 7.3)审查机关不应考虑撤销CWE兼容性为特定的功能通常每隔六(6)个月。 预警和评估7.4)审查机关必须提供的功能所有者和技术POC的警告前至少两(2)个月撤销撤销计划发生。 7.4.1)如果审查机关发现功能所有者的行为或声称是故意误导,然后审查机关可以无视警告。 7.5)如果能力所有者认为,需求得到满足,那么能力所有者可能回应撤销提供具体细节的警告表明为什么满足要求的能力的问题。 7.6)如果能力所有者修改的功能,使它符合要求问题预警期间,然后审查机关应该结束的撤销行动能力。 撤销7.7)审查机关撤销的日期可能会推迟。 7.8)检查机关必须宣传CWE兼容性或CWE的有效性被撤销功能。 7.9)如果审查机关发现功能所有者的行为对CWE兼容性或CWE有效性要求是故意误导,然后撤销应持续至少一年。 7.10)审查机关宣传撤销的原因。 7.11)能力的所有者可能会发布一个关于撤销在同一网站发表公开声明。 7.12)如果批准撤销功能所有者不能申请一个新的审查期间撤销。
审查机关
审查机关
8.1)审查机关必须审查的能力CWE兼容性或CWE有效性对特定CWE的版本,即。,评审的版本。 8.2)审查机关必须清楚地确定评审版本是用于确定兼容性或能力的有效性。 8.3)审查机关必须清楚地确定CWE的版本兼容性的需求文档和有效性是用来确定兼容性或有效性的能力。 8.4)审查机关必须审查能力CWE的存储库中的每个元素映射精度。 8.5)审查机关应当审查能力映射精度至少每年一次。
附录A:特定类型的需求
附录A:特定类型的需求
由于各种功能使用CWE,某些类型的功能可能具有独特的特性,需要特别注意对CWE兼容性。 . 1)能力必须满足所有的额外需求相关的特定类型的能力。 A.1.1)如果能力是一个评估工具,源代码或二进制代码安全分析器,代码质量评估工具,代码检查编译器,开发环境,或产品集成的结果的一个或多个这些类型的项目,那么它必须满足工具需求,A.2.1 A.2.8。 A.1.2)如果能力是一个服务(如安全评估服务、教育或培训服务,或代码和设计审查服务)那么它必须满足安全服务需求,A.3.1 A.3.5。 A.1.3)如果安全问题的能力是一个在线数据库或应用软件的弱点,基于网络的资源,或信息网站,那么它必须满足在线功能需求,A.4.1 A.4.3。 工具需求A.2.1)该工具必须允许用户使用CWE标识符来定位相关任务的工具(“CWE-Searchable”)通过提供至少以下之一:“发现”或“搜索”功能,之间的映射工具的任务名称和CWE标识符,或另一个机制确定为足够的审查机关。 A.2.2)任何报告,该报告将个人安全元素,该工具必须允许用户确定这些元素的相关CWE标识符(“CWE-Output”)通过至少一个:包括CWE标识符直接在报告中,提供了一个工具之间的映射的任务名称和CWE标识符,或使用其他一些机制确定足够的审查机关。 A.2.3)公开的文档必须显式地列出CWE标识符,老板认为工具的能力有效地定位在软件(“CWE-Compatibility声称报道”)。 A.2.4)能力的公开网站可能覆盖能力的CWE-Compatibility声称CWE报道声称代表(CCR) XML文档(s)。 A.2.5)所需的报告或映射中指定的媒体要求必须满足附录B。 A.2.6)工具,或能力拥有者,应向用户提供所有CWE标识符的列表与工具的相关任务。 A.2.7)该工具应该允许用户选择一组任务通过提供一个文件,其中包含CWE标识符的列表。 A.2.8)的接口工具应该允许用户浏览、选择和取消选择一组任务通过使用个人CWE标识符。 A.2.9)如果该工具没有与CWE标识符相关联的任务由用户指定A.2.5或A.2.6工具需求,那么这个工具应该通知用户不能执行相关任务。 A.2.10)能力的所有者必须保证(1)误报率小于100%,即。如果工具报告特定的安全元素,它至少是有时是正确的,和(2)的假阴性率小于100%,即。,如果一个问题是在系统的构件与一个特定的安全元素,然后有时候工具报告这个问题。 安全服务需求安全服务可以使用CWE-compatible和CWE-effective工具在他们的工作,但是他们可能不会为他们的客户提供直接访问这些工具。因此,客户可能难以识别和比较不同的服务的能力。安全服务需求解决这个潜在的限制。 A.3.1)安全服务必须能够使用CWE标识符告诉用户哪些安全元素测试,检测到,或覆盖的服务(“CWE-Searchable”)通过一个或多个以下:为用户提供CWE标识符的列表识别元素测试,检测到,或覆盖的服务,为用户提供服务的元素之间的映射和CWE标识符,应对CWE的用户提供的列表标识符通过识别哪些CWE标识符的测试,检测到,或覆盖的服务,也可以使用一些其他的机制。 A.3.2)任何的报告,该报告将个人安全元素,服务必须允许用户确定这些元素的相关CWE标识符(“CWE-Output”)通过一个或多个以下:允许用户直接在报告中包括CWE标识符,为用户提供一个安全元素之间的映射和CWE标识符,或使用一些其他的机制。 A.3.3)公开的文档必须显式地列出CWE标识功能所有者认为提供的安全服务有效地覆盖(“CWE-Compatibility声称报道”)。 A.3.4)能力的公开网站可能覆盖能力的CWE-Compatibility声称CWE报道声称代表(CCR) XML文档(s)。 A.3.5)所需的报告或映射,所提供的服务必须满足在指定的媒体需求附录B。 A.3.6)如果服务为用户提供直接访问的产品标识安全元素,那么该产品应该CWE-compatible CWE-effective。 A.3.7)能力的所有者必须保证(1)误报率小于100%,即。报告一个特定的安全元素,如果一个工具,它至少是有时是正确的,和(2)的假阴性率小于100%,即。,如果一个问题是在系统的构件与一个特定的安全元素,然后有时服务报告这个问题。 在线功能需求A.4.1)在线功能必须允许用户找到相关安全元素从在线功能的存储库(“CWE-Searchable”)通过提供以下之一:一个搜索函数,它返回CWE标识符相关的元素,每个元素映射链接及其相关CWE标识符(s),或其他机制。 A.4.1.1)在线功能应该提供一个URL“模板”,允许一个计算机程序方便地构造一个链接,访问网络中搜索功能A.4.1能力需求。
例子:
http://www.example.com/cgi-bin/db-search.cgi?cweid=XXX http://www.example.com/cwe/xxx.html A.4.1.2)如果公开访问就不需要再次登录网站,然后cgi程序应该接受“得到”的方法。 A.4.2)任何的报告,该报告将个人安全元素,在线功能必须允许用户确定相关CWE为这些元素标识符(“CWE-Output”)通过至少以下之一:通过允许用户直接在报告中包括CWE标识符,为用户提供一个安全元素之间的映射和CWE标识符,或一些其他的机制。 A.4.3)公开的文档必须显式地列出CWE标识功能所有者认为在线功能的存储库(“CWE-Compatibility声称报道”)。 A.4.4)能力的公开网站可能覆盖能力的CWE-Compatibility声称CWE报道声称代表(CCR) XML文档(s)。 A.4.5)如果在线功能不提供个人安全细节元素,然后在线功能必须提供映射链接每个元素及其相关CWE标识符(s)。
附录B:媒体的需求
附录B:媒体的需求
责任)使用媒体分布CWE-compatible能力必须使用媒体格式,包括在本附录。 B.2)媒体格式,格式必须满足特定的要求。 电子文档(HTML、文字处理机、PDF、ASCII文本,等等)。B.3.1)文件必须在一个常见的格式,有读者,支持一个“发现”或“搜索”功能(“CWE-Searchable”),如生的ASCII文本、HTML或PDF。 B.3.2)如果文档仅为个人提供短名称或标题元素,那么它必须列出CWE标识符相关的那些元素(“CWE-Output”)。 B.3.3)文档应该包括从元素映射到CWE标识符,它列出了适当的页面为每个元素。 图形用户界面(GUI)B.4.1)GUI必须为用户提供搜索功能,允许用户输入一个CWE标识符和检索相关的元素(“CWE-Searchable”)。 B.4.2)如果GUI列出细节对于一个单独的元素,那么它必须CWE标识符列表映射到该元素(“CWE-Output”)。否则,GUI必须为用户提供映射满足B.3.1电子文件的格式要求。 B.4.3)GUI应该允许用户导出或访问CWE-related另一种格式的数据,满足B.3.1电子文档的需求。
更多的信息是可用的,请选择一个不同的过滤器。
|
