普遍的弱点

得分CWES

常见弱点风险分析框架（CWRAF™）

CWRAF提供了一个以一致，灵活，开放的方式评分软件弱点的框架，同时适应各种背景商业领域。这是一项协作，基于社区的努力，正在满足其需求利益相关者跨政府，学术界和工业。CWRAF是普通弱点（CWE™）由软件保证计划共同赞助的项目在美国国土安全部（DHS）的网络安全和通信办公室。

CWRAF好处：

• 包括衡量安全错误风险的机制（”弱点”）与组织或任务的风险紧密相关的方式。
• 支持相关弱点的自动选择和优先级，并根据组织或任务的特定需求进行定制。
• 组织可以与普通弱点评分系统（CWSS™）为了确定其业务领域最重要的弱点，以便将其获取和保护活动告知获得软件保证的更大过程的一部分。

CWRAF和CWSS允许用户对独立于任何特定软件软件包的弱点类排名，以相对于彼此相对优先级（例如，“缓冲区溢出比内存泄漏更高”）。这种方法有时称为“顶部列表”，由CWE前25名，，，，Owasp前十和类似的努力。CWRAF和CWSS允许用户创建自己的自定义TOP-N列表。

CWRAF版本0.8.3

• 介绍
  • 如何使用CWRAF
  • CWRAF，CWSS和CWE之间的关系
• CWSS在CWRAF中得分
  • 使用小插曲得分弱点
  • 自动构建自定义顶级列表
• 创建自己的小插曲
• 未来的CWRAF版本和活动
• 未来版本的考虑
• 计划未来的活动
• 社区参与CWRAF
• 更改日志