未来的CWRAF版本未来CWRAF版本的考虑在将来的CWRAF版本中,可以考虑产生影响亚曲的替代方法。例如,尽管通常可以利用缓冲区溢出来崩溃或执行代码,但并非总是如此。结果,捕获“平均”影响可能会更有益。 此外,弱点可能会产生次要影响,而对业务价值背景比其任何直接影响更重要。例如,SQL注入允许修改然后修改或读取数据的查询,但是在某些情况下,它可用于执行代码(通过修改SQL逻辑以调用数据库函数或写文件)或旁路身份验证(如果关联的SQL查询可以修改逻辑以始终返回“ true”)。当前,CWE并未区分直接和次要影响,大多数相关的CWE数据集中在主要影响上。 包括次要影响有风险。许多技术影响密切相互关联,具有传递性和交换性能。例如,如果文件包含身份验证凭据,则可以读取文件的能力可能会获得特权。相反,获得特权通常会使攻击者访问其他限制性文件。或者,执行代码的能力可以允许攻击者修改文件;修改可执行文件的能力可以允许攻击者执行代码。由于存在这类关系,因此将模型扩展到包括次要影响会导致大多数弱点产生所有可能的技术影响,这将消除影响子分数区分漏洞的能力。对于信息安全行业中的风险建模是一个难题,不仅是CWSS和CWRAF。 计划未来的CWRAF活动CWRAF的大部分开发和完善将在2011 - 2012年期间发生。当前和过去的活动包括:
社区参与CWRAF目前,软件保证社区的成员可以通过以下方式参与CWRAF的开发:
提供更多信息 - 请选择其他过滤器。
|
