CWE模式是由斜方维护公司和合作开发的与公众CWE社区。manbetx客户端首页更多信息,包括如何参与项目以及如何提交变更请求,请访问CWE网站https://cwe.mitre.org。 核心定义 0 2017年11月08 版权(c) 2007 - 2017,斜方公司。manbetx客户端首页保留所有权利。这个文件的内容受到CWE的条款许可位于https://cwe.mitre.org/about/termsofuse.html。看到CWE许可证的具体语言管理权限和限制使用这种模式。当分发CWE的副本模式,本授权头必须包括。 Weakness_Catalog根元素是用于描述软件安全问题的集合称为弱点(如缺陷、错误,错误)。每一个目录都可以由可选视图和类别。目录还包含所有External_References的列表可能共享整个个人的弱点。所需的名称和版本属性是用来唯一地标识目录。所需的日期属性标识当创建此目录或最后更新日期。 一个弱点是错误的或条件,如果匿名发表,可以在适当的条件下导致cyber-enabled能力易受攻击,让敌人在无意识的情况下使物品功能。这complexType用于描述一个特定类型的弱点并提供各种相关的信息。 所需的描述应该是短的和有限的关键点定义这个弱点。可选Extended_Description元素提供一个额外的细节重要的这个弱点,但没有必要转达弱点背后的基本概念。其他一些可选的元素,其中每个详细描述在相应的complexType引用。 所需的条目ID属性提供了一个惟一的标识符。它被认为是静态的一生。如果该条目成为弃用,不会被重用的标识符。必需的Name属性的字符串标识的条目。这个名字应该集中在弱点被描述,应该避免提及攻击利用的弱点或利用软弱的后果。条目名称中所有单词应该资本化除了冠词和介词,除非他们开始或结束的名字。后续连锁用连字符连接的词也不大写。所需的抽象属性定义的抽象层次的弱点。所需的结构属性定义的结构性质的弱点。所需的状态属性定义了这个弱点信息的成熟。 一个类别是弱点的集合基于一些共同的特征或属性。共享属性可能是任意数量的事情包括,但不限于,环境(J2EE、。net),功能区域(身份验证、加密)和相关资源(凭证管理、证书问题)。使用类别主要是作为CWE的组织机制和不应该映射到外部资源。 所需的元素包含的要点总结定义类别,帮助用户理解类别是尝试。可选的关系元素用于定义关系(MemberOf和HasMember)与其他弱点,分类,和视图。可选Taxonomy_Mappings元素用于涉及这一类相似的类别taxomomies CWE之外。可选的引用元素用于提供进一步的阅读和了解这一类。这个元素类别时应该使用基于外部资源或项目。可选的Notes元素用于提供额外的评论或澄清,不能捕获使用类别的其他元素。可选Content_History元素是用于跟踪原作者的类别和任何后续修改内容。这提供了一种联系澄清模棱两可的作者和修饰符,或合并重叠的贡献。 所需的类别的ID属性提供了一个惟一的标识符。它是静态类的生命周期。如果类别变得过时,ID不应该被重用,和一个占位符弃用类别应该留在目录。必需的Name属性提供了一个描述性的标题用来让读者了解这一类代表的特征。所有单词的名字应该资本化除了冠词和介词,除非他们开始或结束的名字。所需的状态属性定义了这一类信息的成熟。请参阅StatusEnumeration简单类型的有效值列表及其含义。 视图代表一个角度可以看一下目录中的弱点。有三种不同类型的视图定义的类型属性:图表,明确的切片,和隐式片。外部定义的视图的成员要么是通过成员元素(在图或显式片)的情况下或可选的滤芯(对于一个隐式片)。 所需的目标元素描述的角度视图构造。观众可选元素提供了一个引用到目标利益相关者或组为谁最相关的视图。可选元素用于定义成员MemberOf与分类的关系。可选的过滤器元件只用于隐式片(见Type属性)和拥有一个XSL查询识别哪些条目的成员的观点。可选的引用元素用于提供进一步的阅读和了解这一观点。这个元素时应该使用视图是基于外部资源或项目。可选元素是用来提供任何额外的评论指出,不能捕获使用视图的其他元素。可选Content_History元素是用于跟踪原作者的观点和任何后续修改内容。这提供了一种联系澄清模棱两可的作者和修饰符,或合并重叠的贡献。 所需的ID属性为视图提供了一个惟一的标识符。它是静态视图的一生。如果视图变得过时,ID不应该被重用,占位符弃用视图应该留在目录。必需的Name属性提供了一个描述性的标题使用给读者的角度来看这种观点代表了什么。所有单词的名字应该资本化除了冠词和介词,除非他们开始或结束的名字。所需的类型属性描述了这种观点正在建设。请参阅ViewTypeEnumeration简单类型的有效值列表及其含义。所需的状态属性定义了这个视图信息的成熟。请参阅StatusEnumeration简单类型的有效值列表及其含义。 ExternalReferenceType复杂类型定义的元素的集合提供了一个指针,可以获得更多的信息和更深入的见解。例子是一个研究论文或出版物摘录。 不需要使用的所有元素,由于一些设计用于web引用和其他人是专为本书引用。作者和标题元素应填写所有引用如果可能的话;作者是可选的,但标题是必需的。材料的可选版元素标识版被引用的材料存在的多个版本。如果引用的一部分杂志或期刊,出版元素应该被用来识别出版商的名字。可选Publication_Year、Publication_Month Publication_Day和出版商元素应该使用更具体识别通过其出版日期和出版商。今年必须遵循YYYY格式,而月必须遵循——MM格式和必须遵循的第二天- - - - - DD格式。URL和URL_Date元素是用来捕获一个URL引用的材料,如果有的话,日期验证URL时存在。 所需Reference_ID属性存在提供一个全局惟一标识符引用(例如,REF-1)。其他实体使用的ID是链接到外部引用。 AffectedResourcesType复杂类型是用来确定影响系统资源,可以利用这个弱点。如果多个资源可能会受到影响,那么每个应该定义为自己的Affected_Resource元素。 AlternateTermsType复杂类型表示一个或多个其他名字用来描述这一弱点。所需的项元素包含实际的备选项。需要描述为每个元素提供上下文这个弱点可能是已知的备选项。 ApplicablePlatformsType复杂类型指定了语言、操作系统、体系结构、模式和技术,一个给定的弱点可能出现。在每种情况下,可以指定一个特定名称或通用的平台。所需的普遍属性标识的规律性的缺点是适用于该平台。当提供一个操作系统的名字,一个可选的通用平台枚举(CPE)标识符可以用来确定一个特定的操作系统。 AudienceType复杂类型提供了参考目标利益相关者或组织一个视图。对于每一个利益相关者,所需的类型元素指定类型的成员可能感兴趣的观点。需要描述元素提供了一些文本描述的属性视图这个特定的利益相关者可能会发现有用的。 BackgroundDetailsType复杂类型包含一个或多个Background_Detail元素,每一个都包含相关的信息而不是弱点本身的性质有关。 CommonConsequencesType复杂类型用于指定个人后果相关的一个弱点。所需的范围元素标识是违反了安全属性。可选元素描述了影响技术的影响,如果敌人成功利用这个弱点。可选元素识别的可能性有多大可能性的具体结果预计将被认为相对于其他后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。可选的元素提供了额外的评论关于一个结果。 可选Consequence_ID属性使用内部CWE团队来唯一地标识例子是重复在任意数量的个人缺点。帮助确保这些常见的例子的细节保持同步,Consequence_ID用于快速识别这些例子在CWE应该是相同的。标识符是一个字符串,应该符合以下格式:CC-1。 ContentHistoryType复杂类型提供了原作者的元素来跟踪一个条目和任何后续修改内容。可选提交元素是用来确定提交者,他们的组织,日期,和任何评论相关条目。可选修改元素是用来识别一个修饰词的名字,组织,日期,和任何相关的评论。一个新的修改元素为每个更改的内容应该存在。修改,更改条目的意思,或者可能如何对其加以解读,应该有一个关键的重要性之前把它的注意力任何人依赖于软弱。可选元素是用来识别贡献一个贡献者的名字,组织,日期,和任何相关的评论。这个元素有一个Type属性,这表明一般的贡献是是否反馈给或捐赠的实际内容。可选Previous_Entry_Name元素用于描述一个以前的名称使用的条目。这应该是实质性的名称更改发生时填写。所需的日期属性列表的日期这个名字更改。 A Previous_Entry_Name element should align with a corresponding Modification element. DemonstrativeExamplesType复杂类型包含一个或多个Demonstrative_Example元素,每一种都包含一个例子说明如何一个弱点可以看看实际的代码。可选Title_Text元素提供一个标题的例子。Intro_Text元素描述了背景和这段代码应该被设置,总结代码试图做什么。Body_Text和Example_Code元素是一个混合的代码和说明文本的例子。引用元素提供了额外的信息。 可选Demonstrative_Example_ID属性使用内部CWE团队来唯一地标识例子是重复在任意数量的个人缺点。帮助确保这些常见的例子的细节保持同步,Demonstrative_Example_ID用于快速识别这些例子在CWE应该是相同的。标识符是一个字符串,应该符合以下格式:dx2。 DetectionMethodsType复杂类型是用来识别方法,可以用来检测这一弱点,包括自己的长处和局限性。所需的方法元素标识特定的检测方法被描述。需要描述元素是为了提供一些如何将此方法应用于一个特定的弱点。可选元素有效性说如何有效的检测方法可以检测相关的弱点。分析师,这个假设使用最佳工具和方法。考虑有限的财务成本,劳动,或时间。可选Effectiveness_Notes元素提供了额外的讨论这种检测方法的优点和缺点。 可选Detection_Method_ID属性使用内部CWE团队来唯一地标识方法重复在任意数量的个人缺点。帮助确保这些常用方法的细节保持同步,Detection_Method_ID用于快速识别那些在CWE Detection_Method元素应该是相同的。标识符是一个字符串,应该符合以下格式:DM-1。 ExploitationFactorsType复杂类型指出条件或因素可能增加的可能性,利用这个弱点。 FunctionalAreasType复杂类型包含一个或多个functional_area元素,其中每个识别软件的功能区域的弱点是最可能发生。例如,CWE-23:相对路径遍历功能区域可能发生的软件相关文件处理。每个适用的功能区域应该有一个新的Functional_Area元素,和标准标题大小写应该适用于每个区域。 ModeOfIntroductionType复杂类型用于提供信息如何当一个给定的弱点可能会引入。如果有多个可能的引入点,然后元素应该包含为每个单独的介绍。所需的软件生命周期中的阶段元素标识点的弱点可能会引入。可选的注意元素识别的典型场景的弱点可能是在给定的阶段。 NotesType复杂类型包含一个或多个元素,每个用于提供任何额外的评论一个条目,使用其他元素无法捕捉到的。 ObservedExampleType复杂类型指定引用一个特定的观察一个弱点在实际软件的实例。通常这将是一个CVE参考。每个Observed_Example元素代表了一个例子。可选的参考元素应该包含标识符引用的例子。例如,如果一个CVE被引用,它应该是标准的CVE标识符的格式,如CVE - 2005 - 1951或CVE - 1999 - 0046。所需的元素应该包含一个描述与产品无关的描述被引用的例子。描述应该提供一个明确的相关性描述的例子是弱点,它是为了举例说明。还应该短,容易理解。Link元素应该提供一个有效的URL,可以获得更多的信息关于这个例子。 PotentialMitigationsType复杂类型是用来描述应对潜在的弱点。它包含一个或多个缓解元素,每个代表应对个人的弱点。阶段元素表明开发生命周期阶段期间,这个特定的缓解可能应用。战略元素描述了一个通用的策略保护系统的减排贡献。元素有效性总结如何有效缓解可能防止的弱点。这个人的描述元素包含一个描述缓解包括任何优点和缺点弱点的缓解。 使用可选的Mitigation_ID属性内部CWE团队来唯一地标识移植,重复在任意数量的个人缺点。帮助确保这些常见的缓解措施的细节保持同步,Mitigation_ID用于快速识别那些在CWE缓解元素应该是相同的。标识符是一个字符串,应该符合以下格式:MIT-1。 ReferencesType复杂类型包含一个或多个参考元素,用于链接到一个外部的参考目录中定义。所需External_Reference_ID属性代表了外部参考条目(例如,REF-1)有关。文本或引用在同一个CWE实体可以引用这个External_Reference_ID类似于如何使用一个脚注,并且应该使用格式(REF-1)。可选的部分属性持有任何部分标题或页码是特定于这个使用参考。 RelatedAttackPatternsType复杂类型包含引用攻击模式与此相关的弱点。协会暗示这些攻击模式可能适用如果这个弱点的实例存在。每一个相关的攻击模式是由CAPEC标识符。 RelatedWeaknessesType复杂类型是指其他的弱点,只有在不同的抽象级别。它包含一个或多个Related_Weakness元素,用于链接CWE标识符的其他的弱点。关系被自然的本质属性。详细信息请参见RelatedNatureEnumeration简单类型定义有效的价值和意义。可选Chain_ID的惟一的ID属性指定一个命名链光束或属于CanPrecede关系。可选的顺序属性是用于确定这种关系是主要的给定View_ID ChildOf关系这一弱点。这个属性值只能有“主”,只应包括主要的父/子关系。为每一个独特的三重<本性,CWE_ID View_ID >,应该只有一个给定一个“主”顺序的关系。 RelationshipsType复杂类型的元素来显示相关的关系提供了一个给定的视图或类别。Member_Of元素用来表示个人类别包含目标视图的一部分。Has_Member元素用于定义缺陷或其他类别组合在一起的一个类别。在这两种情况下,所需的CWE_ID的惟一CWE ID属性指定目标关系的条目,而View_ID指定视图给定的相关关系。 TaxonomyMappingsType复杂类型是用来提供一个条目的映射(软弱或类别)CWE的等效输入不同的分类法。所需Taxonomy_Name属性标识的分类法映射。Entry_ID和Entry_Name元素识别ID和名称的条目被映射。Mapping_Fit元素确定如何关闭CWE分类法中的条目。 WeaknessOrdinalitiesType复杂类型表明潜在的订购关系与其他的弱点。主关系意味着弱点存在独立于其他弱点,而合成关系是当一个弱点只存在于一些其他的存在弱点。所需Ordinality元素识别弱点是否具有一个主键或合成的关系。描述(可选)包含了主要的环境或合成的关系存在。重要的是要注意,有可能为同一条目主要在某些情况下,合成。 AbstractionEnumeration简单类型定义了不同的抽象级别适用于一个弱点。“类”是最抽象类型的弱点,通常独立于任何特定的语言或技术描述。“基地”是一个更具体的类型的缺点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。“变异”是一个弱点,描述的详细程度很低,通常局限于一个特定的语言或技术。“复合”的缺点是一个有意义的聚合的几个弱点,目前称为链或复合。 ArchitectureClassEnumeration简单类型包含一个值列表对应的已知类型的架构。值“独立”是用来与所有架构。 ArchitectureNameEnumeration简单类型包含一个列表的值对应于已知的架构。 DetectionMethodEnumeration简单类型定义了不同的方法用来检测一个弱点。 DetectionEffectivenessEnumeration简单类型定义了不同层次的有效性检测方法在检测一个关联的弱点。“高价值”是用来描述方法,成功经常,不会导致许多错误报告。值“温和”是用来描述方法,适用于多种情况,但它可能没有完全覆盖的弱点,或者它可能会导致一些错误的报告。“飙升”部分价值意味着根据飙升这个方法可以有效的部分覆盖的目标。值“机会主义”是用来描述一个方法不直接目标弱点但仍可能成功的机会,而不是一个可靠的方式。值“有限”是用来描述一个方法可能是有用的在有限的情况下,只适用于潜在的一个给定的实例的一个子集的弱点类型,需要训练/定制,或者给有限的能见度。即使在其有限的能力,这可能是一个好的深度防御策略的一部分。“没有价值”是用来描述一个方法,是极不可能的。然而,它可能包含在一个条目来强调普遍,但不正确的,开发人员可能会引入的方法。 EffectivenessEnumeration简单类型定义了不同的价值观与如何有效缓解可能在预防的弱点。值为“高”是指完全缓解经常成功地消除弱点。值为“温和”意味着缓解将防止多种形式的缺点,但它并没有完全覆盖的弱点。值“有限”是指减轻可能是有用的在有限的情况下,也只适用于这个弱点的潜在错误类型的一个子集。值“偶然”是指减轻一般不有效,只会偶然提供保护,而不是以可靠的方式。值“纵深防御”意味着缓解未必防止软弱,但它可能有助于减少攻击者利用的潜在影响的弱点。 FunctionalAreaEnumeration简单类型定义软件的不同功能区域的弱点可能出现。值“Functional-Area-Independent”是用来与所有功能区域。 重要性的ImportanceEnumeration简单类型列表不同的值。 LanguageClassEnumeration简单类型包含一个列表的值对应于不同类型的源代码语言。值“语言”是用来与所有操作系统。 LanguageNameEnumeration简单类型包含一个值列表对应不同的源代码语言。 LikelihoodEnumeration简单类型包含对应于不同可能的值的列表。“未知”的值应该使用时的实际可能性不知道发生的事情。 MitigationStrategyEnumeration简单类型列表一般策略保护系统的减排贡献。 NoteTypeEnumeration简单类型定义了不同类型的笔记可以关联到一个弱点。注意“适用的平台”提供了额外的信息的列表应用平台对于一个给定的弱点。“维护”这个条目内注意包含重要的维护任务,仍然需要解决,比如澄清的概念涉及或改善关系。一个“关系”注意提供澄清细节关于实体之间的关系。“研究缺口”注意识别脆弱性研究社区的潜在机会进行相关问题的进一步探索这个弱点。它旨在突出部分的CWE没有收到足够的注意力从研究人员。“术语”注意包含术语的讨论有关的问题这一弱点,或澄清没有建立术语时,如果有多个使用相同的关键术语。它不同于Alternate_Terms元素,专注于特定的常用术语。“理论上的”报告描述了弱点利用脆弱性理论概念。它应该提供必要的,特别是在这种情况下,脆弱性理论的应用并不明显的弱点。 OrdinalEnumeration简单类型包含一个值列表用于确定一个关系是主要的关系对于一个给定的弱点在给定视图条目。目前,该属性只能有“主”的价值。 OperatingSystemClassEnumeration简单类型包含一个列表的值对应于不同类型的操作系统。值“与操作系统无关的”是用来与所有操作系统。 OperatingSystemNameEnumeration简单类型包含一个列表的值对应于不同的操作系统。 ParadigmClassEnumeration简单类型包含一个列表的值对应于不同类型的模式。 ParadigmNameEnumeration简单类型包含一个值列表对应不同的范式。 PhaseEnumeration简单类型列表在软件生命周期的不同阶段。 PrevalenceEnumeration简单类型定义了不同的规律,指导平台的适用性。 RelatedNatureEnumeration简单类型定义了不同的值,可以用来定义一个相关的弱点的性质。ChildOf自然代表一个相关的弱点在更高层次的抽象。ParentOf自然代表一个相关的弱点在较低的抽象级别。StartsWith CanPrecede,光束关系用来表示弱点的链接结构。RequiredBy,需要关系是用来表示一个弱点,是一个复合结构弱点的一部分。CanAlsoBe关系表示一个弱点,在适当的环境和背景下,也可以视为目标弱点。注意,CanAlsoBe不一定是互惠的关系。PeerOf关系是用来显示一些相似的目标弱点并不符合任何其他类型的关系。 ResourceEnumeration简单类型定义不同的系统资源。 ScopeEnumeration简单类型定义了不同区域影响的软件安全,可以利用一个弱点。 StatusEnumeration简单类型定义了一个实体的不同状态值(视图、类别、弱点)。 StakeholderEnumeration简单类型定义了CWE社区内不同类型的用户。 StructureEnumeration简单类型列出了不同结构性质的一个弱点。结构简单代表一个疲软的剥削不依赖于另一个弱点的存在。复合的缺点是一组必须同时在场,以产生一个可利用的漏洞,而链是一系列的缺点,必须可以连续产生可利用的漏洞。 TaxonomyMappingFitEnumeration简单类型定义了不同的值用于描述某个映射到CWE之间的亲密无间。 TaxonomyNameEnumeration简单类型列表可以映射到不同的已知taxomomies CWE。 TechnicalImpactEnumeration简单类型描述了技术产生的影响,如果敌人成功利用的弱点。 TechnologyClassEnumeration简单类型包含一个列表的值对应于不同类型的技术。 TechnologyNameEnumeration简单类型包含一个列表的值对应于不同的技术。 ViewTypeEnumeration简单类型定义了不同类型的视图,这些视图可以CWE内找到。图是一个分层表示的弱点基于一个特定的用户可能采取的优势。层次结构往往始于一个类别,其次是类/基地的弱点,和以一个变体的弱点。除了图,一个视图可以一片,这是一个平的条目列表不指定任何这些条目之间的关系。一个显式的切片是弱点的一个子集,通过一些外部因素有关。例如,显式片可以用来代表像一头n个列表映射到外部分组。隐式片是弱点的一个子集通过相关的特定属性,显示滤波元件的观点。举个例子,一个隐式片可能在草案状态指的是所有的弱点,或所有类级别的弱点。 StructuredTextType复杂类型用于允许XHTML内容嵌入标准字符串数据。一些常见的元素:< BR / >插入换行符,< UL > <李/ > < / UL >创建项目符号列表,< OL > <李/ > < / OL >创建一个编号列表,和< DIV风格= " margin-left: 40 px " > < / DIV >创建一个新的缩进一节。 StructuredCodeType复杂类型用于源代码示例。它允许嵌入XHTML内容,使格式的源代码。所需的自然属性状态什么类型的代码示例所示。可选语言属性状态源代码示例中使用的语言。这主要是适当的时候自然是“好”或“坏”。