常见的弱点枚举

CWE术语表定义

共同弱点评分系统(水煤浆)提供了一种机制优先软件弱点以一致的、灵活的、开放的方式。它是一个协作性的,基于社区的努力,解决利益相关者的需要在政府、学术界和工业。

软件开发人员经常面对成百上千的个别错误报告的弱点中发现他们的代码。在某些情况下,一个软件弱点甚至可以导致可利用的漏洞。由于大量的报道弱点,利益相关者常常不得不优先考虑的问题,他们应该先调查和修复,经常使用不完整的信息。简而言之,人们需要理性和沟通的相对重要性不同的弱点。今天同时使用各种评分方法,它们是临时或不恰当的应用到still-imprecise软件安全性的评价。

软件开发人员、经理、测试人员、安全供应商和服务供应商,买家,应用程序供应商,研究人员必须识别和评估软件的弱点,可能表现为漏洞时所使用的软件。然后他们需要能够优先考虑这些弱点和确定哪些解决基于构成最大威胁。当有太多的缺陷修复,每使用不同尺度的得分,并且经常操作和不完整的信息,各种社区成员,经理,测试人员,买家,和开发人员留给自己的方法找到一些方法,比较不同的弱点和将其转化为可操作的信息。

因为水煤浆标准化的方法描述弱点,水煤浆的用户可以调用攻击表面和环境指标应用上下文信息,更准确地反映了风险软件功能,由于特殊的业务上下文将函数内,它是为了提供独特的业务能力。这允许利益相关者作出更明智的决定,当试图降低风险所带来的缺点。

水煤浆是不同于——而不是竞争对手——普通危险得分系统(CVSS)。这些努力有不同的角色,和他们一起可以利用。

水煤浆提供:

• 定量测量:水煤浆提供了一种定量测定的不固定的存在在一个软件应用程序的弱点。
• 常见的框架:水煤浆提供了一个通用框架优先安全错误(“弱点”)中发现的软件应用程序。
• 自定义优先级:会同常见的弱点风险分析框架(CWRAF),可以使用水煤浆消费者识别最重要的业务域类型的弱点,为了通知他们的收购和保护活动作为一个大过程的一部分实现软件的保证。

1.1水煤浆是什么?

水煤浆分为三种指标组:基地发现,攻击表面,和环境。每组包含多个指标——也被称为因素——这是用来计算一个水煤浆得分的一个弱点。

• 基地发现指标组:抓住了弱点的固有风险,对发现的准确性的信心,和力量的控制。
• 攻击表面指标组:攻击者必须克服的障碍,以利用的弱点。
• 环境指标组的弱点:特点是特定于一个特定的环境或操作上下文。

1.2其他弱点评分系统

各种弱点评分系统已使用或提出。自动化工具如源代码扫描仪通常执行自己的自定义评分;因此,多个工具可以产生不一致的分数相同的弱点。

普通危险得分系统(CVSS)也许是最相似的评分系统。但是,有一些重要的局限性,使其难以适应软件安全评估。更详细的比较附录A。

更多细节在其他评分系统,包括适应CVSS,提供了附录B。

1.3水煤浆是如何工作的呢?

1.3.1分数计算

底部发现指标组中的每个因素被分配一个值。这些值转换成相关权重,计算基本“发现”的得分。基地“发现”的得分范围可以在0到100之间。同样的方法应用于攻击表面和环境指标组;他们的部分的得分范围在0和1之间。最后,三个部分的得分相乘,产生一种水煤浆分数在0到100之间。

1.3.2在水煤浆评分方法

利益相关者社区与斜方合作调查不同的计分方法,可能需要支持在水煤浆框架。

对水煤浆注意当前的焦点在目标评分方法和框架context-adjusted得分。聚合方法得分。广义得分分别正在开发,主要是2011年前25和CWRAF的一部分。

1.4执行得分谁?

水煤浆的分数可以自动计算,如代码分析工具,也可以是手动计算软件安全顾问或开发人员。由于自动化分析是不可能有一定的信息,如应用程序的操作环境,水煤浆得分可能进行多轮:工具自动计算水煤浆的分数,然后人类分析师手动添加额外的细节和重新计算分数。

1.5谁拥有水煤浆?

水煤浆是一种常见的弱点枚举(CWE)项目的一部分,由软件共同保证项目办公室的网络和通信的美国国土安全部(DHS)。

1.6使用水煤浆是谁?

最有效,水煤浆支持多个使用场景的不同利益相关者的所有有兴趣一致的评分系统优先考虑软件的弱点,可以引入风险产品,系统,网络和服务。下面列出了一些主要的利益相关者。

截至2014年7月(水煤浆0.8活跃时),有几个水煤浆的实际实现。主用户代码分析供应商和软件安全顾问。

2.1因素指标组

水煤浆包含以下因素,组织基于其度量组:

每个因素在后面的部分中更详细地描述。

2.2值的不确定性和灵活性

水煤浆的情况下可以使用几乎没有信息,但是信息的质量可以改善随着时间的推移。预计在许多用例,水煤浆分数的个人弱点发现可能经常变化,随着越来越多的信息被发现。不同实体可能决定单独的因素在不同的时间点。

因此,每个水煤浆因素有效地有“环境”或“时间”的特点,所以它并不是非常有用,采用相同类型的指标用于CVSS团体。

大多数因素这四个价值观的共同点:

2.3基地发现指标组

底部发现指标组包括下列因素:

• 技术的影响(TI)
• 获得特权(美联社)
• 获得特权层(AL)
• 内部控制有效性(IC)
• 找到信心(FC)

从技术的组合值的影响,获得的特权,以及获得特权层为用户提供一些表达能力。例如,用户可以描述“高”技术的影响在“应用程序”与“管理员”特权层。

2.3.1技术影响(TI)

技术的影响是潜在的弱点,产生的结果,可以假设弱点可以被成功地达到和利用。这是用更细粒度的机密性、完整性和可用性。

技术影响应该评估相对于获得特权(美联社)和获得特权层(AL)。

如果这组值不够准确,水煤浆,用户可以使用自己的“量化方法获得”的得分。其中一个方法涉及使用常见的弱点风险分析框架(CWRAF)定义一个记分卡vignette和技术的影响。重量的影响使用vignette-specific重要度计算为不同的技术可能产生的影响从剥削的弱点,如修改敏感数据,获得特权,资源消耗等。

2.3.2获得特权(美联社)

获得特权标识权限的类型由攻击者获得成功利用的弱点。

注意到所需的值相同的特权,但是重量是不同的。

在某些情况下,获得特权的值可能是一样需要的特权,这意味着要么(1)“横向”特权升级(如从一个非特权用户在另一个)或(2)沙箱内特权升级,比如FTP-only用户可以逃到shell。

2.3.3获得特权层(AL)

获得特权层识别操作层的攻击者成功地利用收益管理特权的弱点。

2.3.4内部控制有效性(IC)

内部控制是一种控制、保护机制或缓解已经明确内置软件(无论是通过架构、设计、实现)。内部控制有效性度量的能力控制呈现疲软无法被攻击者利用。例如,一个输入验证例程限制输入长度为15字符可能是适度的大小对XSS攻击有效减少XSS漏洞,可以尝试。

当有多个内部控制,或多个代码路径,可以达到相同的弱点,那么以下指导适用于:

• 对于每一个代码路径,分析每个内部控制存在的代码路径,并选择最低的重量(即价值。,最强大的内部控制代码路径)。这就是所谓的代码路径值。
• 收集所有代码路径值。
• 选择体重最高的代码路径值(即。是最弱的控制)。

这种方法评估每个代码路径的代码路径最强大的控制(因为攻击者绕过控制),然后选择最弱的代码路径(即。,最简单的路线为攻击者)。

2.3.5找到信心(FC)

发现信心信心报告的问题:

1. 是一个弱点,
2. 可以引发或被攻击者利用

2.4攻击表面指标组

攻击表面指标组包括下列因素:

• 所需的特权(RP)
• 需要特权层(RL)
• 访问向量(AV)
• 身份验证强度(作为)
• 水平的交互(在)
• 部署范围(SC)

2.4.1所需的特权(RP)

所需的特权标识类型的特权,攻击者必须已经以达到代码/功能包含的弱点。

2.4.2需要特权层(RL)

所需的特权层识别攻击者必须有特权的操作层为了试图攻击的弱点。

2.4.3访问向量(AV)

访问向量确定攻击者必须达到沟通的渠道代码或功能,其中包含的弱点。请注意,这些值非常类似于CVSS的,除了水煤浆区分物理访问和本地(shell /账户)访问。

虽然有访问向量和所需的特权层之间的密切关系,这两个是不同的。例如,攻击者与“物理”访问路由器可以影响到网络或企业层。

2.4.4认证强度(作为)

认证的认证强度覆盖强度常规保护代码/功能包含的弱点。

在使用多个身份验证例程时,如果存在两个或两个以上的代码路径,得分应该执行如下:

当有多个身份验证程序,或多个代码路径,可以达到相同的弱点,那么以下指导适用于:

• 对于每一个代码路径,分析每个验证例程存在的代码路径,并选择最低的重量(即价值。,最强大的身份验证例程代码路径)。这就是所谓的代码路径值。
• 收集所有代码路径值。
• 选择体重最高的代码路径值(即。,包含最弱的例程)。

这种方法评估每个代码路径的代码路径最强大的身份验证例程(因为攻击者绕过控制),然后选择最弱的代码路径(即。,最简单的路线为攻击者)。

2.4.5水平的交互(在)

互动的水平覆盖人类所需的行动的受害者(s)使一个成功的攻击。

2.4.6部署范围(SC)

部署范围确定的弱点存在于所有部署实例是否软件,或如果它是有限的平台和/或配置的子集。例如,数值计算误差可能只适用于软件运行在一个特定的操作系统和64位架构,或一个路径遍历问题可能只影响的操作系统被视为一个目录分隔符“\”。

2.5环境指标组

环境指标小组由下列因素:

• 业务影响(BI)
• 发现的可能性(DI)
• 利用的可能性(特异)
• 外部控制有效性(EC)
• 患病率(P)

2.5.1业务影响(BI)

业务影响描述业务或任务的潜在影响,如果可以成功利用的弱点。*

2.5.2发现(DI)的可能性

发现的可能性是攻击者可以发现缺陷的可能性。

2.5.3利用的可能性(特异)

利用的可能性的可能性,如果发现弱点,攻击者需要的特权/认证/访问能够成功地利用它。

2.5.4外部控制有效性(EC)

外部控制有效性的能力控制或缓解措施以外的软件,攻击者可能呈现的弱点更加难以达到和/或触发器。例如,地址空间布局随机化(本)和减少类似的技术,但不消除,对缓冲区溢出攻击成功的机会。然而,本不是直接实例化在软件本身。

当有多个外部控制,或多个代码路径,可以达到相同的弱点,那么以下指导适用于:

• 对于每一个代码路径,分析每个外部控制存在的代码路径,并选择最低的重量(即价值。沿着代码路径,最强大的外部控制)。这就是所谓的代码路径值。
• 收集所有代码路径值。
• 选择体重最高的代码路径值(即。是最弱的控制)。

这种方法评估每个代码路径的代码路径最强大的控制(因为攻击者绕过控制),然后选择最弱的代码路径(即。,最简单的路线为攻击者)。

2.5.5患病率(P)

的患病率*找到识别这种类型的弱点的频率出现在软件。

这个因素是用于广义得分类的弱点,如开发自定义头n个弱点列表。当得分个人弱点发现在一个自动扫描背景下,这个因素可能会使用“不适用”价值。

水煤浆1.0分数的范围在0到100之间。它是计算如下:

BaseFindingSubscore * AttackSurfaceSubscore * EnvironmentSubscore

BaseFindingSubscore支持0到100之间的值。AttackSurfaceSubscore和EnvironmentSubscore支持值在0和1之间。

3.1基地“发现”的得分

基地“发现”的得分(BaseFindingSubscore)计算如下:

基础= [(10 * TechnicalImpact + 5 * (AcquiredPrivilege + AcquiredPrivilegeLayer) + 5 * FindingConfidence) * f (TechnicalImpact) * InternalControlEffectiveness) * 4.0

如果TechnicalImpact f (TechnicalImpact) = 0 = 0;否则f (TechnicalImpact) = 1。

的最大潜在BaseFindingSubscore是100。

的定义f (TechnicalImpact)在CVSS同等。它是用来确保0,如果技术影响的其他补充因素不会不经意地生成一个零分。

TechnicalImpact和AcquiredPrivilege / AcquiredPrivilegeLayer组合相同重量,BaseFindingSubscore的各占40%。(每生成一个sub-value最多10)。有一些调整寻找信心,占20%的基地(最多5)。InternalControlEffectiveness可以向下调整分数,也许为0,这取决于力量的任何内部控制应用于这个问题。InternalControlEffectiveness应用后,可能的结果范围是0到25之间,4.0系数是用来调整BaseFindingSubscore介于0到100之间。

3.2袭击“表面”的得分

AttackSurfaceSubscore计算为:

(20 * (RequiredPrivilege + RequiredPrivilegeLayer + AccessVector) + 20 * DeploymentScope + 15 * LevelOfInteraction + 5 * AuthenticationStrength] / 100.0

的组合需要的特权/访问占60%的攻击“表面”的得分;部署范围,另外20%;互动,10%;和认证,10%。身份验证需求得不到多少关注,假设下强烈的身份证明不会明显阻止攻击者试图利用这个安全漏洞。

由此产生一系列0到100之间的值,然后除以100。

3.3“环境”的得分

EnvironmentalSubscore计算为:

[(10 * BusinessImpact + 3 * LikelihoodOfDiscovery + 4 * LikelihoodOfExploit) + 3 *患病率)* f (BusinessImpact) * ExternalControlEffectiveness) / 20.0

如果BusinessImpact f (BusinessImpact) = 0 = = 0;否则f (BusinessImpact) = 1

BusinessImpact占环境得分的50%,它可以将最后得分为0。ExternalControlEffectiveness总是零(考虑到的风险,它可以如果环境变化)无意中删除,否则它可以产生重大影响最终的得分。LikelihoodOfDiscovery和LikelihoodOfExploit占35%的分数,和患病率为15%。

3.4公式的附加功能

的成绩有显著的多样性可以表示,尽管使用乘法的许多不同的因素,结合多个权重值小,意味着潜在的分数的范围有点偏向值低。

因为“不适用”价值观的重量1,公式总是有一个潜在的最高得分为100.0分。在极其罕见的情况下,某些因素被视为不适用(例如,技术的影响,业务的影响,和内部控制有效性),那么最低可能的分数是零。

当默认值用于大量的因素一个分数,使用水煤浆中定义的值权重为1.0,得分将斜严重偏低。中位数体重因素并不一定反映最可能的值,可以使用,所以选择默认的重量可能会改变在未来的版本中。理想情况下,公式将有一个属性中使用的默认值,相对接近50;非默认值的选择将最后得分向上或向下调整,从而提高精度。

“未知”的使用价值也普遍产生的分数,斜偏低。这可能是一个有用的功能,因为分数会更高,如果他们有更具体的信息。

使用代码作为指定为每个因素,水煤浆的分数可以存储在一个紧凑,machine-parsable,人类可读的格式,提供了细节分数是如何生成的。这非常类似于如何CVSS向量构造。

CVSS不同,并不是所有的水煤浆因素可以象征性地描述离散值。任何因素都可以量化的连续覆盖最初定义默认的离散值权重,使用“Q”价值。当计算使用CWRAF,其影响因素是有效的表达32分离技术的影响和层,其中许多不会适用于一个特定的弱点。对待每个作为一个单独的因素会影响大约两倍计算所需的许多因素水煤浆得分。此外,CWRAF使用业务价值的上下文(BVC)调整分数特定于业务的担忧也意味着水煤浆分数及其矢量可能是不一致的,如果他们是“运输”到其他域或小插曲。

考虑到这个问题,水煤浆1.0向量应该显式地列出每个因子的权重,尽管它增加向量的大小表示。

水煤浆的单因素向量的格式是:

FactorName:价值,重量

例如,“NA, 1.0”指定了一个“不适用”价值与体重患病率为1.0。说明符“AV: P, 0.2”表示“物理”值访问向量权重为0.2。

因素由斜杠字符,如:

AV:我,1.0 / RP: G、0.9 /: N, 1.0

“AV”列表值和权重向量(访问),“RP”(需要特权级别),”“(认证强度)。

如果提供了水煤浆向量这并不实际重量值列表,然后一个实现应该报告错误或不一致,可能试图推断出水煤浆版本基于向量的因素和值,计算水煤浆得分的基础上推断出的版本,和比较原始分数。如果分数不一致,实现应该报告一个可能的错误或不一致。

4.1的例子:关键业务应用程序

考虑一个报道的弱点中,一个应用程序是一个公司的主要的收入来源,因此具有关键的业务价值。应用程序允许任意互联网用户只使用一个电子邮件地址注册一个帐户。用户可以利用应用程序的弱点获得管理员权限,但攻击不能成功,直到管理员的观点最近的一份报告——一种常见的用户活动。攻击者不能完全控制应用程序,但可以删除用户和数据。进一步假设没有控制防止软弱,但解决这个问题很简单,和有限的几行代码。

这种情况可以被捕获在水煤浆向量如下:

(TI: H, 0.9 /美联社:一,1.0 /艾尔:一,1.0 / IC: N, 1.0 / FC: T, 1.0 /

总机:G, 0.9 / RL:一,1.0 / AV:我,1.0 /:N, 1.0 /: T, 0.9 / SC: 1.0 /

BI: C / 0.9, DI: H, 1.0 /例:H, 1.0 / EC: N, 1.0 / P: NA, 1.0)

向量分成多行了可读性。每一行代表一个指标组。

和价值观的因素如下:

这个向量的水煤浆的得分是92.6,推导如下:

• BaseSubscore:
• ((10 * TI + 5 * (AP + AL) + 5 * FC) * f (TI) * IC) * 4.0
• f (TI) = 1
• = [(10 * 0.9 + 5 * (1.0 + 1.0)+ 5 * 1.0)* 1 * 1.0)* 4.0
• = [(9.0 + 10.0 + 5.0)* 1.0)* 4.0
• = 24.0 * 4.0
• = 96.0
• AttackSurfaceSubscore:
• (20 * (RP + RL + AV) + 20 * SC + 15 + 5 * *) / 100.0
• = (20 * 20 * (0.9 + 1.0 + 1.0 + 1.0 + 15 * 0.9 + 5 * 1.0)/ 100.0
• = (58.0 + 20.0 + 13.5 + 5.0)/ 100.0
• = 96.5/100.0
• = 0.965
• EnvironmentSubscore:
• [(10 * BI DI + 4 + 3 * * EX + 3 * P) * f (BI) * EC) / 20.0
• f (BI) = 1
• = [(10 * 1.0 + 3 * 1.0 + 4 * 1.0 + 3 * 1.0)* 1 * 1.0)/ 20.0
• = [(10.0 + 3.0 + 4.0 + 3.0)* 1.0)/ 20.0
• = 20.0/20.0
• = 1.0

最后的得分是:

96.0 * 0.965 * 1.0 = 92.64 = = 92.6

4.2的例子:临界Wiki有限的业务

考虑这个水煤浆向量。假设使用的软件是一个wiki为中型企业跟踪社交活动。一些最重要的特征是,媒介技术影响应用程序管理员普通用户的应用程序,但是没有业务关键型应用程序,所以整个业务影响很低。还要注意,大部分的环境因素都设置为“不适用”。

(TI: M, 0.6 /美联社:,1 /艾尔:A, 1 / IC: N, 1 / FC: T, 1 /

记者:俄文,0.7 / RL: 1 / AV: N, 1 /: L, 0.9 /: A, 1 / SC: 1 / NA

BI: L / 0.3, DI: NA, 1 /例:NA, 1 / EC: N, 1 / RE: NA, 1 / P: NA, 1)

这个向量的水煤浆的得分是51.1,推导如下:

• BaseSubscore:
• ((10 * TI + 5 * (AP + AL) + 5 * FC) * f (TI) * IC) * 4.0
• f (TI) = 1
• = [(10 * 0.6 + 5 * (1 + 1)+ 5 * 1)* f (TI) * 1) * 4.0
• = 84.0
• AttackSurfaceSubscore:
• (20 * (RP + RL + AV) + 20 * SC + 15 + 5 * *) / 100.0
• = (20 * (0.7 + 1 + 1)+ 20 * 1.0 + 15 * 1.0 + 5 * 0.9)/ 100.0
• = (54.0 + 20.0 + 15.0 + 4.5)/ 100.0
• = 93.5/100.0
• = 0.94 (0.935)
• EnvironmentSubscore:
• [(10 * BI DI + 4 + 3 * * EX + 3 * P) * f (BI) * EC) / 20.0
• f (BI) = 1
• = [(10 * 0.3 + 3 * 1.0 + 4 * 1.0 + 3 * 1.0)* f (BI) * 1) / 20.0
• = [(3.0 + 3.0 + 4.0 + 3.0)* 1.0 * 1.0)/ 20.0
• = (13.0 * 1.0)/ 20.0
• = 0.65

最后的得分是:

84.0 * 0.935 * 0.65 = 51.051 = = 51.1

4.3其他方法水煤浆分数可移植性

而不是记录每个人的体重在水煤浆向量,可以采用其他方法。

一种可能性是延长水煤浆向量记录额外的元数据,而不影响你的分数,但反映了版本或其他重要信息。元数据部分不一定需要捕获权重,本身。例如,水煤浆的版本可以被记录通过使用一个“因素”的名字,如“V”和的值代表了水煤浆的版本,如。“V: 1.1”。这将增加大约4个字节到每个水煤浆向量。然而,如果版本是编码在一个矢量,然后分配的权重将不再需要记录(量化值除外),所以由此产生的向量可以更短。

另一个方法是把元数据生成一套水煤浆分数(如技术影响记分卡如果使用CWRAF),但它可能太容易此元数据成为脱离分数/向量。量化因素仍将需要在一个向量表示,因为他们可以为每个弱点发现变化。

另一种方法是,当水煤浆分数从一方转移到另一个,然后接收方可以从给定的水煤浆计算得分向量,然后比较回馈分数与原来的分数。成绩上的差异表明,不同的机制正在使用提供者和receiverd之间,可能是不同版本的水煤浆。

在将来的版本中应该考虑以下。

5.1当前评分方法的局限性

5.1.1得分重量和分布

公式仍然需要改进,以确保潜在的范围distibuted分数更均匀。可能有意想不到的因素之间的相互作用,必须识别和解决。CVSS得分包含内置的调整,防止许多因素影响太多,同时也给一些偏好影响可利用性;类似的水煤浆的内置调整可能需要执行。

5.1.2中提高设计或建筑缺陷的优先级

水煤浆1.0没有提供任何明确的机制给更高的优先级设计或结构缺陷和实现漏洞。这可能是一个重要的区别,因为设计缺陷可能的妥协妥协整个软件包,但单个水煤浆分数对于这样一个设计缺陷可能成为“埋”如果有许多不同的实现bug。例如,一个单一的报告缺乏一个输入验证框架可能会携带更多的重量比多个个人XSS和SQL注入漏洞。这个issuee可以加剧了如果使用聚合的分数。

它可能使用业务影响因素,但这个因素可能已经使用了它的最初目的。

“软弱”范围因素可以用来覆盖下面的场景。1.0在水煤浆,设计和架构缺陷接收相同的相对优先的实现问题,即使他们的软件可能会导致一个完整的妥协。也许是合理的使用一个单独的因素为了给设计/架构缺陷更大的重量,例如,缺乏一个输入验证框架(一个“发现”)可以给更高的优先级比几百个人发现XSS或SQL注入。*

5.1.3复合元素(链等)

也有一些挑战得分发现,结合多个弱点。就其本质而言,复合等元素链和复合材料涉及多个报道弱点之间的相互作用。等检测技术自动化代码扫描,多个CWE条目可能报道作为一个单独的发现链或复合。如果个人的分数在每个环节链分别计算,这可能会人为地抬高任何总分数。然而,有时复合元素大于各部分的总和,并结合多个弱点的影响高于任何个人的最大影响的弱点。这不是好的解决在当前水煤浆方案;然而,应该注意的是,CVSSv3可能包括指导得分链作为自己的独立实体,所以水煤浆的未来版本可能会效仿。

5.1.4其他类型的软件评估

预计水煤浆可考虑使用其他类型的软件评估,如安全、可靠性、和质量。弱点或其他代码质量问题可能会收到更高的优先级在CWRAF vignette-oriented方案,从安全、合规,或可维护性可能是重要的。这种用法与水煤浆1.0没有明确支持。然而,这样的质量相关问题可以在所需的特权一样获得特权,和所需的特权层一样获得特权层;也可以对商业的影响。

5.2社区审查和验证的因素

等待社区审查,水煤浆的未来版本可能会修改,删除或添加因素的方法。

只要有足够的利益相关者或用例的一个因素是很重要的,那么它是一个强大的理由保持因素在水煤浆,即使它不是对每个人都至关重要。别人时可以用“不适用”价值相关因素并不是他们自己的环境。然而,更多的因素指标,更多的复杂性。

5.3水煤浆和CWE版本更改评分的影响

参与评分因素的值可能会改变经常根据行业趋势。例如,发现一个特定的弱点可能会改变的可能性,如果检测技术改善(或如果有重点的转变,因为增加的攻击),或下降如果足够的开发人员避免方法的弱点,和/或如果自动保护机制达到大规模采用。

在未来,一些因素的默认值可能会直接从CWE获得数据。然而,新的CWE定期发布版本,一年约4或5次。如果CWE修改条目的方式影响CWSS-related因素,然后产生的水煤浆分数CWE的弱点可能不同,这取决于版本使用。理论上来说,然而,这可能是自动检测通过观察不一致水煤浆用于“默认”值的权重向量。

因为这些潜在的变化,是一个重大风险,水煤浆分数不会与跨组织或评估如果他们计算使用不同版本的水煤浆,小插曲,或者CWE。

预期的变化,水煤浆设计应考虑包括CWE和/或水煤浆在水煤浆向量表示版本号(或关联的元数据)。

最后,这些变化不应过于频繁地发生,因为每个变化可能导致水煤浆分数不可预知的变化,可能导致混乱和干扰战略努力修复缺陷的重要性突然减少。*虽然这可能是不可避免的水煤浆作为一种自然发展的结果,社会应试图阻止这种事的发生。

虽然分数可能改变水煤浆和CWE发展,不一定有要求一个组织re-score只要发布一个新版本,尤其是组织使用水煤浆仅供内部的目的。分数的可变性很大程度上是组织之间共享分数的问题。例如,一个软件开发人员可能有自己的internally-defined小品文和BVC,所以开发人员可能不需要(或愿意)分享水煤浆分数以外的组织。

水煤浆1.0的发布后,未来发展的时间表是不确定的。然而,未来的计划可能包括:

• 继续获得利益相关者验证为现有的因素,或反馈值和权重。现在水煤浆看到一些实际的使用,这些利益相关者会有价值的输入改善指标。
• 继续修改评分方法和公式,以便减少偏向低分数,不适用的数据和不完整或不影响成绩。
• 完善和评估汇总得分技巧。
• 定义一个数据交换表征水煤浆分数和向量,例如XML / XSD。
• 认证强度()的值可能需要更清楚的定义。它可能是合理的采用的方法如NIST中概述的四层特殊的出版物800 - 63(“电子认证指南”)和OMB备忘录04-04。然而,由于身份验证机制的力量可能降低随着时间的推移,由于攻击技术或计算能力的进步,它可能是有用的选择值,有效地“永不过时”。(On the other hand, this might make it difficult to compare CWSS scores if they were assigned at different times.)
• 目前尚不清楚是否理智的特权模式层充分表达还是有用的。一旦释放,独立验证CVSSv3, CVSS的模型应该被重提。

目前,软件保证社区的成员可以参与的发展水煤浆在以下方式:

• 本文档提供反馈。
• 检查当前定义的因素;建议修改当前的因素,任何额外的因素将是有用的。
• 评价计分公式和公式内因素的相对重要性。
• 为水煤浆定义特定的用例。

背书的CVSS概述

的普通危险得分系统(CVSS)是常用的排名出现在部署软件漏洞。CVSS为持续得分漏洞提供了一个通用的框架。

从概念上讲,CVSS和水煤浆是非常相似的。CVSS有一些重要的优势和局限性,然而。

CVSS的优势之一在于它的简单。CVSS总体得分分为14个独立的特点在三个指标组:基础,时间和环境。每一个特点是分解成两个或两个以上的不同值。例如,访问向量反映了攻击者必须利用漏洞的位置,与当地的可能值(本地系统身份验证),远程(在网络上),或网络相邻(在相同的物理或逻辑网络)。通常,除了CVSS分数,一个向量识别提供了选择为每个特征值。

相关的文档,CVSS得分相当可重复,即。,不同的分析人士通常会生成相同的分数的脆弱性。然而,可以生成不同的分数,当信息是不完整的,和重大变化是可能的如果分析师不密切关注文档。而简化的机密性/诚信/可用性模型没有提供所需的深度和灵活性通过一些安全专家,CVSS为非专业提供有用的一致性系统和网络管理员优先漏洞。

CVSS已经被广泛采用,尤其是使用基础分数的基础指标组。一些组织使用CVSS的时间和环境部分,但这是相对罕见,所以这些度量组织可能没有足够的审查在现实世界中。

由水煤浆与CVSS的使用场景

• CVSS假定一个漏洞已经被发现和验证;在这个过程中早些时候水煤浆可以应用之前,任何漏洞已被证明。CVSS不是可伸缩的安全评估一个软件包。详细的评估,如自动化代码扫描,可能报告发现成千上万的弱点。由于高容量,这些发现之前,他们通常会需要得分和优先可以更密切地检查以确定他们导致的漏洞。水煤浆明确支持“未知”值时不完整的信息。
• CVSS分数不占不完整的信息,但水煤浆得分对不完全信息的内置支持。之前在水煤浆,得分可能是必要的弱点甚至导致一个漏洞。例如,得分实体——一个人类或机器是否可能不知道预期的操作环境或认证要求在初始水煤浆得分。在CVSS,不完整的信息有时是一个问题,因为许多漏洞报告不包含所需的所有相关信息得分。当信息丢失,一个保守的方法是选择将产生最大的CVSS分数值。这种方法和其他国家使用的漏洞数据库,但它可以人为地夸大成绩。保守的得分是可行的,只要大多数漏洞报告包含足够的信息。weakness-scoring上下文内,高百分比的弱点发现将缺少一个关键的信息,因为一些检测技术将无法可靠地确定一个弱点可以被攻击者利用,没有进一步分析。因此,水煤浆提供了一种方法来显式地记录信息不可用。
• CVSSv2得分有很大的倾向于对物理系统的影响;水煤浆有小偏差的应用程序包含的弱点。在某些情况下,用户可能会强烈倾向于分数问题根据他们的影响关键业务数据或功能,这可能影响有限的整体物理系统的影响。例如,最大可能为CVSS分数通常是7.0对甲骨文的产品,因为这些产品通常运行有限的特权。CVSSv3将消除这种偏见向系统,但是其模型仍然与水煤浆所使用的模型不同。

早期水煤浆发展寻求保持CVSS的优势同时也试图避免的一些限制有关。

出具的比较CVSSv2因素与水煤浆因素

注意,在CVSS,访问的复杂性(AC)值结合多个特征水煤浆中分裂成不同的因素,如需要特权级别和级别的交互。

各其他CVSS差异和水煤浆

水煤浆分数和CVSS分数不一定具有可比性。即使水煤浆分数最多(100)“规范化”的CVSS范围除以10(会产生CVSS-equivalent分数在0到10的范围内),这并不意味着水煤浆得分7相当于CVSS 7。这可能是由一些消费者需要的功能,但是由于水煤浆往往比CVSS测量完全不同的特征,得分等价可能不是可行的。此外,在实践中,CVSS分数不遵循常规的分布,通常与斜向高分;有可能是水煤浆可能有更好的分布。

一些组织试图修改CVSS为了解决的一些独特的软件安全需求分析;这些修改都在附录B中提到。

度量组在CVSS水煤浆是不同的比,通过设计。一些评论者的早期水煤浆版本建议水煤浆采用相同的度量集组所使用的CVSS——基地,时间和环境。然而,由于水煤浆分数可以计算在早期,无知的场景,许多因素在本质上是“时间”,无论哪一组在;此外,这些分数可能会进一步变化分析收益率更多信息的弱点。水煤浆支持使用价值,如“未知”或“违约”,可以在稍后的时间填写。

CVSS的一个方面,没有显式地建模在水煤浆是“部分”的概念的影响。然而,获得特权,特权层、技术的影响,和业务影响大致相当,有更多的表达能力。

责任2008水煤浆开球会议

2008年10月,举行了水煤浆的单日开始会议。几位与会者描述他们的评分方法:

Veracode报道改编自CVSS /漏洞评估发现弱点。每个问题给出权重的机密性、完整性和可用性,基于相关CWE条目。权重考虑平均可能发生严重程度。例如,一个缓冲区溢出可能允许攻击者造成崩溃,但它并不总是可利用的代码执行。

聚合的分数,Veracode几个“VERAFIED安全标志”,是基于计算安全质量分数(SQS),范围从0到100。“VerAfied”安全标志用于表明软件Veracode免费评估是“非常高”,“高”,或“介质”严重漏洞,和自由的automatically-detectable漏洞CWE / SANS或OWASP前十名。两个“保证”标志的变化包括手动评估步骤覆盖CWE / SANS的其余部分或OWASP十大不能被自动检测。

Veracode评级系统使用一个三个字母的评级系统(与等级的“a”、“B”,“C”,“D”和“F”)。第一个字母用于二进制的结果分析,自动动态分析的第二个,第三个人体试验。

Cigital描述CVSSv2对弱点的可行性研究。一些属性,如“目标分布”不符合得很好。其他属性扩展增加更多的粒度。一个多项式评分方法建议。它也被视为重要的模型之间的区别的可能性和影响。

Cenzic冰雹应用程序的风险度量提供细节(伤害)。它是一个量化得分,利用黑盒分析web应用程序。度量的目标是提供一个可伸缩的方法集中整治工作。度规分成4影响区域相关的web应用程序安全:浏览器,会话,web应用程序和服务器。这种方法的好处是,它很容易熔化。

CERT / SEI提出其评分方法C安全编码规则。FMECA度量,一个ISO标准,使用。它描述物品的严重性,可能导致脆弱的(),和修复成本。

B.2 2010 san / CWE前25名

2010 san / CWE最危险的软件错误列表试图执行定量CWE条目的优先使用组合的普遍性和重要性,成为水煤浆0.1在今年晚些时候的基础。调查方法是在受访者表现自己的普遍性和重要性41个人评价候选人的弱点,最后的分数决定。以反映不同意见和用例的受访者为广大评选名单之列,用来代替影响的重要因素。为了迫使共识,受访者被限制到4选择最高价值的重要性(“关键”)和患病率(“广泛”),虽然这种被迫的选择是不受欢迎的;它可能会被抛弃在未来版本的前25位。许多受访者使用高层汇总数据,或一个粗略的共识与组织的意见,有时覆盖多个团队或功能。很少受访者在低水平的真实世界的数据粒度使用的前25名(通常CWE的“基础”的抽象级别)。PlexLogic的评价后发现,这两个变量并不是完全独立的。这一发现使某种意义上,因为脆弱性研究社区往往关注最高的漏洞/弱点的影响。当可靠的攻击技术设计了一种特别的嗜好/脆弱,更多的研究人员能更容易找到他们,这可能导致广泛的剥削。 Consequently, this raises the relative Importance of a weakness.

2010年排名前25位的是结构化的方式来支持多个观点,可以反映出不同优先级的弱点。创建单独的重点资料源于原始的一些批评2009前25,广义的前25位不一定有用的所有观众,列表,一个定制的优先级会理想。八个重点概要文件提供了与2010年的前25位。例如,教育重点关注形象评估的弱点被视为重要的在学校或大学从教育的角度看语境。它强调CWE条目,毕业的学生应该知道,包括弱点是历史上重要的或增加的广度覆盖。单独关注形象排名完全基于他们的弱点评估的重要性,这将是有用的软件用户想要删除最严重的问题,没有考虑发生频率或资源密集型如何修复。这些ranking-oriented集中配置文件某些观众更加有用,排名前25名及其建设和管理作为一个有用的前任水煤浆和小插曲。

虽然2009年排名前25位的没有等级物品,被认为是相关的几个因素提出了观众:攻击频率,影响或后果,患病率、易于检测。其他因素包括修复成本,公共知识,和弱点发现的可能性将增加在未来。

B.3 2010 OWASP前十名

与以前的版本相比,2010年OWASP十大重点从弱点/弱点转向风险,通常导致每个OWASP十大条目覆盖多个相关弱点类型构成相同的风险。优先级的因素包括便于利用,患病率,检测能力和技术的影响。输入从贡献者请求以确定这些因素的值,但最后的决定为每一个因素是由十大编辑人员基于趋势信息几个真实的数据来源。他开发了一个度量,利用这些因素优先考虑最后的十大清单。

B.4其他模型

微软的步幅模型描述问题的欺骗身份、篡改数据、否定、信息披露、拒绝服务和海拔的特权。基于损伤潜在恐惧方案评估问题,再现性的问题,可利用性,受影响的用户,和可发现性。这些属性在水煤浆等价的因素。

水煤浆是最有效的对其利益相关者,几个方面问题的区域被认为是在设计框架和指标。

• 灵活性:水煤浆应该尽可能自动化程度和灵活,但是支持人工输入。
• 选择自动化:假设部分水煤浆分数可以自动生成。例如,一些因素可能依赖于类型的弱点得分;可能产生的部分的得分可能来源于CWE数据。另外一个例子,一个web脚本可能只能由管理员来操作,所以所有的弱点可能解释的这需要特权。
• 可伸缩性:一些使用场景可能需要成千上万的弱点的得分,如缺陷报告从一个自动化的代码扫描工具。遇到这样一个高容量时,有太多的问题需要手工分析。因此,自动评分必须支持。
• 利益相关者分析:潜在的水煤浆的利益相关者,他们的需求,和相关的用例应该分析了解他们的个人需求。这可能需要支持多种得分技术或方法。
• 可用性与完整性:相关指标必须平衡可用性和完整性。,他们不能太复杂。
• 优先级的灵活性:环境条件和业务/任务优先级应该影响分数是如何生成和解释的。

而水煤浆1.0专注于目标得分,它可以进一步用于通用的方式得分的弱点,例如开发一个缓冲区溢出等问题的相对优先级,XSS, SQL注入,独立于任何特定的软件包。

一个广义得分方法可以解释:

• 流行:多久这个软件包中至少出现一次?
• 频率:在一个软件包的这个弱点时,发生多久?(也许概括为“扩散”)
• 发现的可能性
• 利用的可能性
• 技术的影响

在前面的水煤浆0.1,公式是:

患病率x重要性

这个公式的描述指标用于2010 CWE /无排名前25位。重要性是来源于vignette-specific部分的得分技术影响CWE的条目。普遍可以获得一般信息(来自CWE内容,或从其他来源),与vignette-specific规格流行的可能性。例如,XSS或SQL注入可能发生更频繁地在网络零售环境中比在嵌入式软件。

D.1患病率评估

在前面的水煤浆version 0.1中,患病率分数为2010年前25名被重用获得原始投票数据从2010年前25名参与者。最初的1 - 4(离散值)规模扩展到使用1到10之间的值。使用现实世界流行数据时,这个人造正常化可能不是必要的。

下表总结了患病率分数的排名前25位的条目。注意XSS的高患病率值;这反映了这样一个事实:几乎所有的投票成员得分XSS“广泛”。完整的细节可以在一个单独的页面。

多年来,软件消费者想要明确的指导一个软件包的安全程度,但是唯一可用的方法专利,粗糙,或者间接的,如:

• 原油的方法,如计算数量和/或公开报道漏洞的严重性
• 专有的顾问或工具开发人员开发的方法
• 间接方法,比如攻击表面度规,这可能有很强的协会与总体软件安全,虽然不一定被经验证实。

一个软件包可以评估的数量和重要性已发现的缺陷,无论是自动或手工技术。结果从这些个人弱点可以聚合发展一个分数,暂时称为“软弱面。”This could move the software assurance community one step closer to consumer-friendly software security indicators such as the软件成分标签概念,最初提出的杰夫·威廉姆斯(安全方面)和保罗·黑(NIST)。

当有一系列有针对性的弱点一个软件包,有几个可能的聚合评分方法,包括但不限于:

• 计算个人弱点得分的总和
• 选择所有个人弱点的最高分数
• 选择一个子集的个人弱点分数超过规定的最小值,并把分数加起来
• 计算的总和个人弱点分数,然后根据代码规范化这些分数或其他指标反映代码大小,即。缺陷密度。”
• 标准化结果在每一个可执行的基础上。
• 结果正常化一点规模介于0(不保证)和100(高保证)。

早期水煤浆的实现通常聚合基于分数的总和,或通过选择的最高分数。

一些方法从2008年水煤浆开球车间可能适应或适用;看到附录B。此外,一些SCAP用户已经开始为主机系统创建聚合指标通过聚合CVSS分数为个人CVE漏洞检测到主机。这些用户可能有一些有用的指导水煤浆的总得分。