常见的弱点枚举

CWE术语表定义

CWE地图和导航指导

除了原始的手动搜索CWE XML文件在最新的版本中,有几个资源映射到CWE id。

• 自定义“mapping-friendly”演讲
• 现场寻找个人页面
• 树木在PDF文档
• 外部数据库或产品支持CWE搜索

是否你已经找到最好的匹配CWE ID为特定的弱点,考虑以下:

• 入口应该是一个弱点或复合/链类型。映射到一个观点是不正确的,坚决不提倡映射到一个类别,因为分类不是围绕CWE的行为模型的弱点。
• 入口应该在最低的层次的抽象,而匹配(或知性)的弱点的概念。注意,CWE无法支持所有可能的观点和方法分类的弱点,所以有时候不会有一个合适的匹配,除了在非常高的水平;看到“映射分析“文档的讨论问题。

CWE支持多个视图,这是不同的方式组织CWE的条目。最有用的两个观点是研究概念(cwe - 1000和开发的概念cwe - 699)。更多的背景,看到“CWE的演变发展和研究的观点”和“CWE发展的比较和研究的观点”。

进行映射,选择研究或开发人员的观点和主要页面视图。你可以做以下之一:

分级显示

• cwe - 1000图选项卡
• cwe - 699图选项卡

如果视图层次,选择“图表”选项卡。(两个研究概念和开发人员的概念视图层次)。中给出的名称和id是一个缩进列表。列出额外的细节,以帮助映射任务,点击“Mapping-Friendly”复选框在页面的右上角。这也将显示摘要,替代方面,父母的id(祖先)的一个条目。

最初,仅显示层次结构的根。你可以扩大整个层次结构使用“全部展开”链接。扩展或收缩子树,点击图标左边的图标条目的类型,它显示了一个“-”崩溃,和一个“+”扩大。

如果您将鼠标悬停在祖先部分,这将列出每个祖先条目的全名。这个功能尤其方便当你几层在树上。(全名默认是不显示的,因为浏览器文本搜索否则匹配太多无关的条目)。点击祖先部分切换鼠标离开后打开。

点击一个ID显示完整的条目在一个单独的页面。

注意,许多条目有多个父母,所以他们可能会列出两个或两个以上的时间内分层显示。

切片显示

• cwe - 1000片选项卡
• cwe - 699片选项卡

一片提出了一种平面视图中的所有条目的列表。默认情况下,所有字段列出了每个条目。

专注于为每一个条目字段的最相关的子集,使用“表示过滤器”页面的右上角。选择“Mapping-Friendly”或“基本总结”的演讲。(如果你显示所有字段,那么文本搜索可能会发现许多无关紧要的比赛。)

然后,您可以检查ParentOf和ChildOf关系每个条目中找到其他相关条目。PeerOf CanAlsoBe关系,当可用的,也可以是有益的。

列表显示

• cwe - 1000列表选项卡
• cwe - 699列表选项卡

可以快速简单的列表(列表)选项卡,因为它只包含id和名称。然而,您需要熟悉CWE的术语。

pdf CWE的图形描述

每个层次视图以图形方式显示在一个PDF文件。您可以执行文本搜索的文档中的CWE的名字。这种方法有些是有限的,因为只有“主”父母画,和页面可以很大。

现场搜索

现场搜索表单将在CWE的网站上找到所有匹配的页面;所有网页索引。限制你的搜索只个人CWE条目页面,在搜索字符串中包含“inurl:定义”。

然后,您可以检查ParentOf和ChildOf关系每个条目中找到其他相关条目。PeerOf CanAlsoBe关系,当可用的,也可以是有益的。

1. 背景:看到术语表和熟悉CWE的术语。
2. 执行文本搜索或浏览一个条目,你想接近的弱点。
3. 检查条目的父母(找到更一般的条目)或查看条目的孩子找到更多特定的条目)。在某些情况下,它可能是有用的检查条目的兄弟姐妹;可以通过看孩子的父母。

4. 警告:不要仅仅依赖项的名称来确定你是否有找到合适的另一半。虽然CWE试图是自洽的术语,有这么多不同的行业,有时同一术语有不同的定义,和一些问题没有任何的条款。

   当你正在考虑是否一个特定的条目是很好的搭配,点评:

   • 总结和扩展描述
   • 术语笔记和备选项
   • 示范或观察到的例子
   • 分类法映射

5. 如果你没有运气找到一个好的匹配,然后一些选项:

   • 考虑切换到另一个视图;研究概念(cwe - 1000)和开发人员的概念(cwe - 699)的观点是组织很不一样,尤其是顶部附近
   • 使用一个更加全面的搜索(整片或现场搜索)。
   • 如果你更熟悉的攻击,然后再考虑浏览CAPEC看到CAPEC映射到的弱点。

如果你相信CWE并不足够覆盖问题,联系我们cwe@mitre.org。