创建自己的小插曲目前,大约有20小插曲和技术记分卡,但任何人都可以创建自己的装饰图案和配套的技术计分卡识别cw最重要的业务和应用程序。本节将帮助指导您完成这一过程。 这些示例项目中发现的一个小插曲是“原型”。当前定义的列表可用原型用于描述小插曲在这里。如果有新的原型需要识别和发送他们cwe@mitre.org我们可以将它们添加到列表中。 这些原型作为上下文描述中描述的技术被应用程序所利用的元素装饰图案。 有两个表对于每一个装饰图案,“小插图定义”和“技术影响计分卡”。 装饰图案的定义创建一个装饰图案定义基本上可以归结为装饰图案定义表中填充。下面是一个示例小插图定义表与一个特定的装饰图案为一个基于web的零售供应商。装饰图案的定义是为了讨论业务问题的关心应用程序。是应用程序处理PII吗?信用卡(PCI-relevant)数据?多么糟糕的每个8技术影响给定应用程序在做什么业务(业务操作的上下文)。
技术影响计分卡计分卡的技术影响的机制,允许创建装饰图案下的排名列表项。创建一个技术影响记分卡装饰图案开始于这样一个事实:每个CWE会导致一个或多个类型的故障或技术的影响。 装饰图案是一个上下文的得分8技术影响4水平(应用程序、系统、网络和企业),然后映射到连续波,导致特定技术的影响。 分配权重(清廉)8技术影响通过确定这些影响有多“坏”为一个特定的业务案例(这是被小插图)是第一步,是用这句话“一旦技术影响计分卡是为特定的装饰图案填充”,启动“计算CWE-specific技术“影响”的得分”一节。 在第一个表“计算CWE-specific技术“影响”的得分”部分,在“技术部分的得分影响和重要性”中的值列来自上面的装饰图案技术影响得分的努力和被映射到不同的连续波技术的影响。 注意,列表的技术影响,每个CWE CWE的一部分数据在CWE本身。寻找CWE的“常见的后果”字段和“技术影响”部分(参见示例CWE - 900: 2011的弱点CWE / SANS最危险的软件错误具体的例子)。
更多的信息是可用的,请选择一个不同的过滤器。
|
常见的弱点枚举
播客
媒介
万博下载包新闻存档
