CWE术语表定义

介绍CWRAF™

CWRAF为软件开发人员提供了一个手段和消费者优先软件出现漏洞,与业务相关的任务和部署技术。在某些情况下,一个软件缺陷可以导致可利用的漏洞。通过提供一个可重复的方式来定制常见的弱点评分系统(水煤浆™),CWRAF使人们理性和沟通的相对重要性不同的弱点。用户可以自动生成一个更有针对性的规范的“头n个弱点列表中使用的软件,最关键的是相关的业务领域,任务和技术组。与其他活动同时,CWRAF最终帮助开发者和消费者将更安全软件引入到他们的操作环境。

CWRAF为得分不足提供了一个框架一致,灵活、开放的态度,反映了应用程序的业务上下文和应用程序在做什么生意。它是一个协作性的,基于社区的努力,解决利益相关者的需要在政府、学术界和工业。

CWRAF:

• 包括测量缺陷的风险机制的方式与风险密切相关业务或任务。
• 支持相关缺陷的自动选择和优先级划分,定制业务的特定需求或任务。
• 结合水煤浆,消费者可以通过识别最重要的弱点为他们的业务领域,以通知其收购和保护活动作为一个大过程的一部分实现软件的保证。

如何使用CWRAF

CWRAF和水煤浆允许用户等级类的弱点独立于任何特定的软件包,以优先考虑他们彼此相对的(例如,“缓冲区溢出的优先级高于内存泄漏”)。这种方法,有时称为“头n个列表,使用CWE / SANS, OWASP前十名,和类似的努力提供宽测量基线组行业利用自己的改进活动。

CWRAF和水煤浆让用户创建头n个列表的特定软件和业务领域,任务和技术组。结合其他活动、水煤浆和CWRAF帮助开发者和消费者更具活力和弹性软件引入到他们的操作环境。

CWRAF支持涉众需求在整个软件生命周期。然而,的适用性CWRAF超出软件的设计和开发。CWRAF可以用来支持供应链风险管理(SCRM)通过给软件收购来定义软件的弱点,他们认为最重要的。CWRAF还可以支持培训和教育的优先级根据业务部门或组织的独特需求。

最有效,CWRAF支持多个使用场景的不同利益相关者的所有有兴趣一致的评分系统优先考虑软件的弱点,可以引入风险产品,系统,网络和服务。一些主要的发展中列出CWRAF涉众认为在这里。

高级概念共同弱点风险分析框架下面突出显示。下面提供了完整的技术细节。

更大的图片。)

“业务领域”是一个主要功能或服务,包括范围广泛的网络的操作和交互功能或组织,如银行和金融、公共卫生、和电子商务。

在一个业务领域,提供了一个可共享的“插曲”,半正式的描述一个场景识别一组连接科技集团,业务领域内共同执行一个函数。例如,一个装饰图案在电子商务领域可能识别retail-based网上商店使用web应用程序和数据库为客户购买不同的产品和服务。

底层概念,CWRAF和水煤浆杠杆,尽管有超过600 CWE的弱点,所有这些导致一个或多个只有八(8)技术的影响体现在操作系统时。换句话说,如果一个特定CWE的软件是利用软件在使用时支持特定的业务,它将导致攻击者能够:修改数据,读取数据,创建一个拒绝服务,导致不可靠的执行,创建一个拒绝服务,导致资源消耗,执行未经授权的代码或命令,获得特权/假设身份,绕过保护机制,和/或隐藏活动。

通过研究各种技术的影响有多么重要业务应用程序支持我们可以流这些“重要性”评级的连续波会导致这些技术的影响。

如上所述,弱点在CWRAF和水煤浆的得分是直接影响业务域的应用程序运行,它是做什么业务的支持,以及对业务应用程序支持的重要性。

水煤浆得分的方式捕获此业务的重要性是通过装饰图案的上下文中,它定义了:

• 描述一个系统(或系统)实现一个业务功能使用“技术原型”从不同的技术团体,如web应用程序中,工业控制系统等。
• 业务价值上下文(BVC)识别部署软件的主要安全问题覆盖的小插图。BVC描述潜在危害可能发生的业务或者任务如果任何缺点都可以成功被攻击者利用,如合规失败,失去声誉,或生态灾难。
• 技术影响记分卡,列出了低级的潜在影响的弱点剥削(例如,代码执行或系统崩溃)和排名或重视这些影响基于它们如何影响业务功能的性能被发现的故事。

使用业务价值的上下文和技术影响计分卡水煤浆,CWRAF vignette-specific提供输入,可以用于优先考虑哪些弱点最关心和最理想的情况是必须解决的。

CWRAF之间的关系、水煤浆和CWE

下图总结了CWRAF之间的关系,水煤浆,CWE:

更大的图片。)