CWE - CWE - 1395:依赖脆弱的第三方组件(4.12)

弱点ID: 1395

抽象:类
结构:简单的

视图定制的信息:

的用户感兴趣的更多的概念方面的一个弱点。例如:教育者,技术作家和项目/项目经理。用户关心的实际应用和细节的本质弱点以及如何预防它的发生。例子:工具开发人员、安全人员、pen-testers事件反应分析师。对于用户映射一个问题CWE / CAPEC id,即。,找到最合适的CWE为一个特定的问题(例如,CVE记录)。例如:工具开发人员、安全人员。用户希望看到所有可用的信息CWE / CAPEC条目。为用户谁想要定制显示细节。

描述

该产品具有依赖于第三方组件包含一个或多个已知的漏洞。

扩展描述

许多产品是足够足够大或复杂,使用库的一部分功能,模块或者其他知识产权由第三方开发并不是产品的创造者。例如,甚至整个操作系统可能从第三方供应商在一些硬件产品。是否打开或关闭源,这些组件可能包含公开已知的漏洞,可以利用对手妥协的产品。

的关系

此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。

相关的视图”研究概念”(cwe - 1000)

自然	类型	ID	的名字
ChildOf	类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。	657年	违反安全的设计原则

模式的介绍

不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。

阶段	请注意
架构和设计	产品设计师或设计师可能选择的组件已经被包含漏洞或包含漏洞的可能性很高。
实现	出于兼容性或稳定,开发人员可能会选择一个第三方组件,如图书馆,已知包含漏洞。
修复和维护	因为所有产品包含漏洞,随着时间的推移,一个第三方组件将被发现有一个弱点。

适用的平台

该清单显示了给定的弱点可以可能的地区出现。这些可能是为特定命名的语言,操作系统,架构、模式、技术、或一个类这样的平台。列出的平台是随着频率的出现疲态实例。

语言

类:不是特定于语言的患病率(待定)

操作系统

类:不使用患病率(待定)

体系结构

类:不是特定于体系结构的患病率(待定)

技术

类:不是特定于技术的患病率(待定)

常见的后果

这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。

范围	影响	可能性
保密完整性可用性	技术的影响:不同的上下文结果相差很大,这取决于组件中存在的漏洞;这些漏洞可以被对手,“达到”的开发路径和攻击表面将取决于如何使用组件;和特权的临界水平,产品依赖于组件的特性。

示范例子

示例1

“SweynTooth”漏洞在蓝牙低能量(bie)软件开发工具包(SDK)被发现影响多个蓝牙芯片系统(SoC)制造商。这些soc所使用的许多产品,如医疗设备,智能家居设备、衣物等物联网设备。(ref - 1314][ref - 1315]

示例2

log4j,基于java的日志框架,用于大量的产品,估计在30亿年影响设备(ref - 1317]。当“log4shell”(cve - 2021 - 44228)脆弱性最初宣布,这是积极利用远程代码执行,要求紧急缓解在许多组织中。然而,目前还不清楚有多少产品受到影响,Log4j有时会传递依赖长序列的一部分。(ref - 1316]

潜在的缓解措施

阶段:要求;政策

在某些行业,如医疗保健(ref - 1320][ref - 1322)或技术如云(ref - 1321),它可能不清楚谁负责为第三方应用补丁的漏洞:供应商、运营商/客户,或一个单独的服务。明确的角色和职责可能是重要的,以尽量减少混乱或不必要的延迟当第三方的漏洞被披露。

阶段:需求

需要一个材料清单的所有组件和子组件产品。对于软件,需要软件材料清单(SBOM) [ref - 1247][ref - 1311]。

阶段:体系结构和设计;实施;集成;制造业

维持一个材料清单的所有组件和子组件产品。对于软件、维护软件材料清单(SBOM)。根据(ref - 1247),”SBOM是一个正式的、机器可读的软件组件和依赖项的库存,这些组件的信息,及其层次关系。”

阶段:操作;修复和维护

积极地监控当第三方组件供应商公布漏洞补丁;尽快解决第三方组件;和方便操作人员/客户获取和应用补丁。

阶段:操作;修复和维护

持续监测变化的每个产品的组件,特别是当变化表明新的漏洞,临终(EOL)计划等。

检测方法

自动化分析

对于软件,使用软件成分分析(SCA)工具,自动分析产品识别第三方依赖关系。通常,SCA工具可以用来与依赖,他们检测已知的漏洞。有商业和开源替代品,如OWASP依赖性检查(ref - 1312]。许多语言或框架包经理具有类似的功能,比如JavaScript npm审计,pip-audit Python, govulncheck去,和许多其他人。动态方法可以检测加载第三方组件。

有效性:高

注意:软件成分分析(SCA)工具面临的技术挑战的数量会导致假阳性和假阴性。动态方法有其他技术挑战。

会员资格

这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。

自然	类型	ID	的名字
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	1418年	综合分类:违反安全设计原则

脆弱性映射笔记

用法:Allowed-with-Review

(CWE ID可以用来映射到实际的漏洞在有限的情况下需要仔细审查)

原因:抽象

理由是:

这个CWE条目是一个类并会基本的孩子可能更合适

评论:

检查这个条目的孩子是否有一个更好的选择

分类法映射

映射分类名称	节点ID	映射节点名
ISA / IEC 62443	4 - 2部分	点播CR 2.4
ISA / IEC 62443	4 - 2部分	点播CR 6.2
ISA / IEC 62443	4 - 2部分	点播CR 7.2
ISA / IEC 62443	4 - 1部分	点播SM-9
ISA / IEC 62443	4 - 1部分	点播SM-10
ISA / IEC 62443	4 - 1部分	点播SR-2
ISA / IEC 62443	4 - 1部分	点播DM-1
ISA / IEC 62443	4 - 1部分	点播DM-3
ISA / IEC 62443	4 - 1部分	点播DM-4
ISA / IEC 62443	4 - 1部分	点播SVV-1
ISA / IEC 62443	4 - 1部分	点播SVV-3

引用

(ref - 1313)杰夫•威廉姆斯Arshan Dabirsiaghi。“不安全的不幸现实图书馆”。2014年。<https://owasp.org/www-project-dependency-check/>。URL验证:2023-01-25。

[ref - 1212]“A06:2021——脆弱的和过时的组件”。OWASP。2021-09-24。<https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/>。

[ref - 1247] NTIA多方参与过程透明度框架工作小组对软件组件。“框架软件组件透明度:建立一个通用软件材料清单(SBOM)”。2021-10-21。<https://www.ntia.gov/files/ntia/publications/ntia_sbom_framing_2nd_edition_20211021.pdf>。

天使爱美丽(ref - 1311)《古兰经》,温蒂纳,斯图尔特•斯科特莎拉·安·布兰克特。“使用SBOMs我们构建的情况下”。2022 - 11。<https://www.atlanticcouncil.org/wp content/uploads/2022/11/ac_sbom_ib_v2 - 002. - pdf>。URL验证:2023-01-25。

OWASP (ref - 1312)。“OWASP依赖性检查”。<https://owasp.org/www-project-dependency-check/>。URL验证:2023-01-25。

(ref - 1314) ICS-CERT。“ICS警报(ICS -报警- 20 - 063 - 01):SweynTooth漏洞”。2020-03-04。<https://www.cisa.gov/万博下载包news - events/ics alerts/ics警报- 20 - 063 - 01>。URL验证:2023-04-07。

[ref - 1315] Matheus e . Garbelini Sudipta将挑战,Chundong Wang新加坡大学的技术和设计。“释放混乱在蓝牙低能量”。2020-03-04。<https://asset-group.github.io/disclosures/sweyntooth/>。URL验证:2023-01-25。

中国钢铁工业协会(ref - 1316)。“警报(aa21 - 356 a):减轻Log4Shell和其他Log4j-Related漏洞”。2021-12-22。<https://www.cisa.gov/万博下载包news - events/cybersecurity advisories/aa21 - 356 a>。URL验证:2023-04-07。

[ref - 1317] SC媒体。“Log4Shell教给我们什么应用程序安全性,如何应对现在”。2022-07-05。<https://www.scmagazine.com/resource/application-security/what-log4shell-taught-us-about-appsec-and-how-to-respond>。URL验证:2023-01-26。

(ref - 1320)尤素夫。“医疗设备安全的框架计划在医疗保健服务的组织”。2022-08-08。<https://array.aami.org/content/万博下载包news/framework-medical-device-security-program-healthcare-delivery-organization>。URL验证:2023-04-07。

云安全联盟(ref - 1321)。“共同责任模式”来解释。2020-08-26。<https://cloudsecurityalliance.org/blog/2020/08/26/shared-responsibility-model-explained/>。URL验证:2023-01-28。

[ref - 1322]梅丽莎追逐,史蒂文Christey绿青鳕,朱莉·康诺利罗尼Daldos,玛吉祖克。“医疗设备网络安全区域事件防范和应对策略”。第6.1节:医疗器械采购。2022-11-14。<//www.rongyidianshang.com/万博下载包news-insights/publication/medical-device-cybersecurity-regional-incident-preparedness-and-response>。URL验证:2023-01-28。

内容的历史

提交
提交日期	提交者	组织
2023-01-25 (CWE 4.10, 2023-01-31)	CWE内容团队	主教法冠
2023-01-25 (CWE 4.10, 2023-01-31)
贡献
贡献的日期	贡献者	组织
2022-04-18	Samreen艾尔沙德	俾路支省大学信息技术、工程和管理科学
2022-04-18	提交请求的报道“脆弱和过时的组件”
2023-06-29 (CWE 4.12, 2023-06-29)	“映射CWE 62443”子组	CWE -CAPEC ICS /团体
2023-06-29 (CWE 4.12, 2023-06-29)	建议映射ISA / IEC 62443。
修改
修改日期	修饰符	组织
2023-04-27	CWE内容团队	主教法冠
2023-04-27	更新引用关系
2023-06-29	CWE内容团队	主教法冠
2023-06-29	更新Mapping_Notes Taxonomy_Mappings

常见的弱点枚举

cwe - 1395:依赖脆弱的第三方组件


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用常见的弱点枚举(CWE)和相关的引用从这个网站的使用条款。CWE赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2006 - 2023,斜方公司。manbetx客户端首页CWE、水煤浆、CWRAF, CWE标志是斜方公司的商标。manbetx客户端首页

常见的弱点枚举

cwe - 1395:依赖脆弱的第三方组件

编辑自定义过滤器