CWE域完整性目标
CWE域完整性目标 下面是报告的每个CWE字段确定其优先级,以及多长时间必须完成,从CWE的角度维护内容。CWE社区鼓励这些优先提供反馈。
关键 |
完整性 |
(即有多少个节点,角色。、分类、组类型、变异或全部)应该有这个字段填写。测量的基础,这将是一种进展CWE的首次正式版本。 |
- 所有:所有节点需要。
- 大多数(作用):大多数节点与给定的角色可能会需要。
- 一些(作用)用给定的角色:一些节点使用领域;一个空值是典型的。
|
优先级 |
CWE团队认为重点应该是什么,截至2008年1月 |
- 1:基本定义什么是一个节点
- 2大多数利益相关者:重要CWE有用
- 3:重要信息或教育的目的,但不是关键节点本身的定义;或者,重要影响力的利益相关者,但不是大多数。
- 4:有用的信息或教育的目的
- 5:很少有已知的用例;CWE本身的范围之外;或者还没有明确的
|
模式 |
什么模式变化可能需要在未来 |
内容 |
考虑这方面的内容 |
社区 |
社区参与的机会 |
Affected_Resource |
完整性: |
某些类型,一些变异 |
优先级: |
4 |
模式: |
可能是微小的变化,这取决于视图形式化 |
社区: |
可以帮助定义额外的资源和填充节点 |
|
Alternate_Terms |
完整性: |
一些类型,有些变异,有些类别 |
优先级: |
4 |
|
Applicable_Platforms |
完整性: |
所有类型,所有的变种,所有类别 |
优先级: |
2 |
模式: |
需要处理“所有受影响,但最关心的语言X”;还需要处理环境/ OS信息(如只适用于Windows和Unix) |
社区: |
IEEE组织(例如吉姆。摩尔)能审查/贡献。 |
|
Black_Box_Definition |
完整性: |
所有类型,所有的变种 |
优先级: |
5 |
内容: |
这个字段生成White_Box_Definition补充,但目前没有计划来填充这个积极。可能会有一些机会利用CAPEC。 |
|
CVEs_Mentioned |
完整性: |
大多数类型,大多数变体 |
优先级: |
3 |
内容: |
识别所有类型/ cf变异将会非常困难,由于缺乏信息;一些CWE的尚未被发现在公共软件。注意:这不是一个实际的字段在CWE。看到Observed_Example笔记。 |
社区: |
可以帮助填充节点 |
|
CWE_ID |
|
Causal_Nature |
完整性: |
大多数类型,大多数变体 |
优先级: |
5 |
内容: |
可以认为,某些节点发生在多个软件开发生命周期的阶段;例如,路径遍历问题可能被引入设计(如果设计是详细)或实现(如果设计是更一般的方式)。 |
模式: |
想要一个更好的隐式或显式的崩溃 |
社区: |
这可以帮助填充元素吗 |
|
Common_Consequences |
完整性: |
所有类型,所有类别,所有变体 |
优先级: |
4 |
模式: |
额外的结构和一个固定的词汇可能会好 |
社区: |
可以帮助填充节点 |
|
Common_Methods_of_Exploitation |
完整性: |
大多数类型 |
优先级: |
5 |
内容: |
与CAPEC密切联系 |
模式: |
未知的 |
社区: |
可以帮助填充节点 |
|
Context_Notes |
完整性: |
许多类型 |
优先级: |
3 |
模式: |
可能需要更清楚的合并/区别描述和研究缺口。 |
|
Demonstrative_Example |
完整性: |
所有类型,所有的变种,一些类别 |
优先级: |
3 |
内容: |
一些例子包含无意识的错误或不充分说明这一问题 |
模式: |
元素可能需要额外的修改。可能需要添加一个“分组”元素的例子。 |
社区: |
可以提供很好的例子 |
|
描述 |
完整性: |
所有节点 |
优先级: |
1 |
内容: |
描述的信息含量不同,有时太多。8将描述分为2部分:草案Description_Summary,这是一句话,和一个Extended_Description,进一步扩展了这个问题。理想情况下,这将是一个短的段落和一致的结构的角度来看,和其他信息可能会在其他领域。 |
社区: |
审查现有的长描述和能帮分成Description_Summary Extended_Description。 |
|
Enabling_Factors_for_Exploitation |
完整性: |
大多数类型 |
优先级: |
5 |
内容: |
与CAPEC密切联系 |
模式: |
未知的 |
社区: |
可以帮助填充节点 |
|
Functional_Area |
完整性: |
所有类型,所有的变种,所有类别 |
优先级: |
5 |
内容: |
剩下的千鸟;需要确保这个地址用例(可能是开发人员)。 |
模式: |
这可能在未来被删除草稿,除非有额外的工作,确定一个固定的,全面的功能区域。 |
|
Likelihood_of_Exploit |
完整性: |
所有类型,所有的变种 |
优先级: |
5 |
内容: |
密切联系CAPEC |
社区: |
可以帮助填充 |
|
的名字 |
完整性: |
所有节点 |
优先级: |
1 |
内容: |
需要建立并遵循一致的风格,包括资本化,每个名字的措辞和视角。 |
|
Node_Relationship |
完整性: |
所有节点 |
优先级: |
2 |
内容: |
可能希望所有变体有父母/祖先类型;类似的类型和类别。目前未知需要做多少。链和复合材料可能构成特殊的挑战。 |
模式: |
规范化的观点可能会影响这个元素。需要确定意义/使用对等和CanAlsoBe。 |
社区: |
可以审查和确定额外的关系,尤其是与重叠节点,特别是对链和复合材料。 |
|
Observed_Example |
完整性: |
大多数类型,大多数变体 |
优先级: |
3 |
内容: |
识别现实世界的事件(例如cf)所有类型/变异将会非常困难,由于缺乏详细的信息。很可能一些CWE尚未公开报道的现成的软件。 |
模式: |
元素可能需要额外的修改。可能需要添加一个“分组”元素的例子。 |
社区: |
可以帮助填充节点 |
|
Potential_Mitigations |
完整性: |
所有类型,所有的变种 |
优先级: |
4 |
模式: |
更好的形式化可能使分析气候变化影响最节点。也可能想“分享”父母/子女之间移植。 |
社区: |
SEI编码指南也有可能(但可能更好的作为一个单独的元素)。 |
|
引用 |
完整性: |
所有类型,一些变异 |
优先级: |
3 |
内容: |
一个子节点可能会继承父母的引用;这应该明确吗?也想介绍一致性检查来确定当同样的引用已经以不同的方式指定。 |
社区: |
本书作者从他们的章可以提供映射/部分连续波。 |
|
Related_Attack_Patterns |
完整性: |
所有类型,所有的变种,所有类别 |
优先级: |
2 |
内容: |
这是自动填充通过CAPEC CWE节点的映射。CAPEC映射被认为是主列表。 |
|
Research_Gaps |
|
Source_Taxonomy |
完整性: |
许多类型,许多变异,许多类别 |
优先级: |
4 |
内容: |
并不是所有CWE节点是来自其他分类法 |
|
Time_of_Introduction |
完整性: |
所有类型,所有的变种 |
优先级: |
3 |
内容: |
一些探索性工作是由CWE团队,但它不是集成到8草案。 |
模式: |
需要考虑与源代码扫描仪的关系分析,黑/白箱测试 |
社区: |
可以帮助填充节点 |
|
类型 |
完整性: |
所有节点 |
优先级: |
1 |
内容: |
属性名称更改为“角色”草案8。CWE的最初努力团队澄清角色在草案8。这些需要被集体寻找错误或不一致,如没有孩子的一个类别,或没有类型作为一个家长的一个变体。分析将有助于清理CWE的差距和澄清的关系。 |
模式: |
需要处理额外的类型 |
|
Weakness_Ordinality |
完整性: |
所有类型,所有的变种,一些类别 |
优先级: |
4 |
模式: |
可以更改为支持自动连锁建设(但是这些是由CanResultIn / ResultsFrom关系在8)草案。很多节点都是小学和合成,但这不能处理目前在Ordinality元素。 |
|
White_Box_Definition |
完整性: |
许多类型,许多变体 |
优先级: |
2 |
内容: |
这个数据是由KDM分析CWE规范化项目的支持。由于项目是致力于弱点能被探测到的使用自动化源代码分析,不是所有类型或变异将白盒描述。 |
|
|