常见的弱点枚举

CWE术语表定义

常见弱点评分系统(水煤浆)变化和讨论

日期:2011年4月27日

由于许多组织和个人的反馈,水煤浆0.4包含许多重大变化而水煤浆0.3。

分离水煤浆和新的CWRAF

最系统的变化是分离的小插图/域/记分卡框架从实际度量定义。当我们提出这两个主要观点,它经常引起混乱,这两个想法通常有不同的观众。

我们已经创建了共同的弱点风险分析框架(CWRAF)处理vignette-related概念。水煤浆现在只关注指标和公式,使其符合相似度量的努力包括CVSS, cms, ccs。

CWRAF仍然可以选择用于影响水煤浆分数是如何生成的,但两个努力现在逻辑分离。我们愿意及时建议另一个首字母缩写,尽管它需要包含单词“常见”,“弱点”和“框架”。

CWRAF和水煤浆保持CWE项目的一部分,这是共同的软件保证程序在国家网络安全部门(NCSD)的美国国土安全部(DHS)。

文档和消息传递,特别是CVSS

我们的文档和描述性的材料在网站上,而广泛,造成很多混乱和误解。我们已经做了一些改进网页磨练我们的信息。因为CWRAF和水煤浆可以有不同的观众(比另一个技术),分割将帮助我们使我们的材料更紧密地与合适的观众。同时,CWRAF和水煤浆0.4 web页面包含图片,有助于解释更清楚的一些概念。然而,仍然在这个领域工作。

我们提炼信息更好地强调如何不同于CVSS水煤浆。显然许多人都相信,我们正在创造一个竞争对手CVSS,当两个努力操作主要是在软件生命周期的不同阶段。人们常把“软弱”等同于“漏洞”,和我们没有充分强调一些水煤浆的主要用例,如试图持续得分成千上万的个人发现一个自动化的安全代码扫描器。产生的结果,它不是完全确信存在一个漏洞。CVSS的水煤浆0.3文档包含部分比较,但这是位于附录。

通过更好地强调两者的区别的努力,我们将能得到更精确的反馈和障碍采用消除误解。

有一些建议水煤浆CVSS尽可能多的“样子”,例如通过使用基础/时间/环境指标组。这是企图在水煤浆0.4,然后放弃了。由于水煤浆通常运行在的生命周期的早期发现弱点之前,甚至为一个特定的漏洞——将会有很少的信息当得分第一次发生,这意味着大多数因素随时间变化;也就是说,大部分因素可能是“时间”。Similarly, since CWSS is designed from the ground up to support customization, most factors are also "environmental."

我们已经收到很多评论说,水煤浆太复杂。我们有解决这些问题通过分离从核心水煤浆CWRAF小品文。也看来,一些评论家认为,水煤浆得分需要手工分析;CVSS所需而广泛的人工分析,这不是作为水煤浆的必要。对于大多数用例,我们预计,水煤浆分数将自动生成(或附加信息,自动更新)。我们设想利用一个自动化工具,可以“面试”的消费者获得特定于上下文的需求。然后,这次面试可以插入自动分析结果为水煤浆提供适当的上下文的分数。例如,面试程序可以帮助消费者选择CWRAF装饰图案,可以用来不适用状态因素,影响的计算技术影响和业务影响,等等。

也有过于强调水煤浆的灵活性方面的“不适用”的价值观,以及使用的量化值。我们可能不再强调水煤浆的定制能力在我们的文档,因为这些功能可能只会是有用的一组有限的专家水煤浆的用户。

CVSS的经验表明广泛采用,但大多数消费者使用NVD等第三方来源获得的得分没有修改。大多数CVSS消费者不要使用时间或环保团体定制CVSS分数。很有可能,这种经历将遇到水煤浆。

在过去,我们提出使用水煤浆的多种方式:

1. 在CVSS-style目标个人发现在特定软件的得分;
2. 在广义评分,例如头n个列表;
3. 在聚合得分,帮助计算一个值捕获应用程序的整体风险的不固定的缺点。

通过给予同等重量的这些方法,这“使消息”和重点不清楚。目前水煤浆是集中在目标得分。现在使用的广义得分头n个列表CWRAF覆盖。最后,就目前而言,我们不会积极发展聚合方法得分;然而,我们预期会有较高的消费需求等方法。

系统性的变化因素

水煤浆0.3评分使用14个因素;水煤浆0.4这个数字增加到18。看起来,水煤浆0.4是朝着错误的方向的复杂性。然而,我们将广泛参与技术社区在水煤浆0.4,我们不想让任何早期决定社区没有足够的审查。

几个因素是建议删除,但他们被暂时保留,直到他们得到更广泛的评估。主要问题是水煤浆0.4文档中描述为每个单独的因素。

的主要原因水煤浆因素的数量的增长是由于“层”的发展模式,旨在克服CVSS的最重要的限制之一。水煤浆0.4代表关注的“层”(系统、应用程序、网络和企业),缩写为理智的。还有一个distintion之间需要获得的特权和特权。这种“理智”的模式克服了系统仅CVSS的偏见。与技术有关的因素的影响,更细粒度的描述攻击场景可以用理智的表示层,如“一个客人在一个网络应用程序可以获得管理员权限。”

水煤浆0.4增加了一个“默认”值为每一个因素,所以,消费者会有合理的如果他们不能做自己的定制。这也使得工具或服务从一个合理的、可重复的值在无知的情况下。例如,一个工具或服务可能不知道一个弱点的修复成本,还是外控制操作环境中使用,如防火墙或本主题。

度量组被修改和重组,基地发现,攻击表面,和环境。看到前面的讨论CVSS的理由。

个人因素变化

创建一个业务影响因素,基于反馈的“业务价值上下文”链接CWE技术影响不足以捕捉某些业务方面的考虑。

技术影响因子修改定义关键/高/中/低的值。这使水煤浆更符合CVSS的精神。量化值仍然支持;原始的、更复杂的计算技术的影响已经搬到了CWRAF。

公式的变化

水煤浆0.3计分公式有很大的局限性,乘以一起因素。此外,每一个因素都有1.0的最大重量。因此,一个或两个因素可以显著降低水煤浆的分数,结果不直观。分数的用于严重偏见,大多数潜在的分数之间的0到2(最大100)。

水煤浆0.4公式对一些因素是比别人更重要,添加一些因素和调整权重。理由不记录在撰写本文时,但公式将集中调查的主题社区对水煤浆0.5。

发展水煤浆的0.5

水煤浆0.5,预计将在几周内公布,我们将密切与社区互动获得详细审查的因素,他们的重量和价值,和公式。

感谢所有的评论者帮助我们使水煤浆0.4 (CWRAF 0.4)显著提高早期版本。