行业新闻报道- 2万博下载包007存档
行业新闻报道- 2万博下载包007存档 下面是一个综合月度审核CWE的新闻和其他媒体的报道。万博下载包简要总结列出的每个新闻条目的标题、作者(如果确定万博下载包),日期,和媒体源。
BankInfoSecurity.com,2007年8月 CWE项目经理罗伯特·马丁进行了10分钟访谈内容与BankInfoSecurity.com关于CWE,CVE,使安全可衡量的在黑帽简报2007。它是九采访从可用的事件http://www.bankinfosecurity.com/podcasts.php?podcastID=53(需要注册),或者你可以播放或下载播客现在从CWE的网站。 《计算机世界》,2007年8月2日 CWE提到在8月2日,2007篇题为“黑帽子:国家安全局专家称赞安全情报共享“在《计算机世界》。这篇文章是由马特·海恩斯,最初出现在信息世界2007年8月1日。 信息世界,2007年8月1日 CWE提到在8月1日2007篇题为“国家安全局专家称赞安全情报共享“在信息世界。本文的主题是发表主旨演讲国家安全局脆弱性分析和运营集团首席托尼老练的人黑帽简报2007关于“美国政府举措,旨在促进整个联邦的安全情报的共享空间正在帮助建立必要的社区氛围和最佳实践来帮助那些机构和民营企业改善他们的网络和应用程序防御…”提到了CWE和常见的漏洞和风险(CVE)项目。 CWE首先是在文章中提到如下:“一个主要元素的愿景是推动标准安全情报转化为语言,任何组织都可以解释,萨格尔说。他强调了共同弱点枚举(CWE)项目,旨在创建一个共同的语言识别软件的漏洞是由国土安全部和非盈利斜方——作为一个例子的类型的标准,是实现国家安全局的目标。” CWE再次提到当作者声明:“僧帽CVE的负责人罗伯特•马丁(常见的漏洞暴露)兼容性努力和贡献CWE的倡议,表示动量是建立在他组织的指导原则,帮助许多政府和私人机构更好地理解和分享自己的实践。”,所有这些不同的部分合在一起,我们是标准化保障自己的基本概念以及评估方法和提高计算和网络系统,”马丁说。“我看到未来,tapestry的工具、程序、和过程是建立在时间的基础上,识别和解决常见问题,存在所有这些选区之一。”Martin said that Mitre's efforts to add new security policy frameworks will continue to improve as they mature and even more parties begin to contribute their intelligence to the initiatives. 这篇文章是由马特·海恩斯写的。
《计算机世界》2007年6月26日 CWE提到在2007年6月26日,文章题为“新工具为测试应用程序安全:基于标准的系统漏洞”《计算机世界》。这篇文章的主题Veracode, Inc .)新软件安全评级服务评估和识别软件缺陷的严重程度和可利用性。 CWE是当作者提到:“支持其评级服务,客户可以使用它来测试自己的本土应用程序的代码或第三方供应商,公司建立了一个基于CWE评分系统(常见的弱点枚举)分类,由联邦政府资助的IT安全监管机构已转发僧帽,以及CVSS(普通危险得分系统),已由第一个驾驶事件反应和安全队(论坛)工业集团。” Veracode的一员CWE社区页面及其SecurityReview评估中列出的服务CWE兼容性和有效性部分。这篇文章是由马特•海恩斯和转载的文章最初发表在信息世界如下提到的。 信息世界2007年6月25日 CWE提到在6月25日,2007篇题为“Veracode首次系统二进制代码测试:基于标准的方法将允许企业扫描程序的二进制代码投入生产之前的问题”信息世界。这篇文章的主题Veracode, Inc .)新软件安全评级服务评估和识别软件缺陷的严重程度和可利用性。 CWE是当作者提到:“支持其评级服务——客户可以使用它来测试自己的本土应用程序的代码或第三方供应商,公司建立了一个基于CWE评分系统(常见的弱点枚举)分类,它已经被联邦政府资助的转发安全监督僧帽,以及CVSS(普通危险得分系统),已由第一个驾驶事件反应和安全队(论坛)工业集团。” Veracode的一员CWE社区页面及其SecurityReview评估中列出的服务CWE兼容性和有效性部分。这篇文章是由马特·海恩斯写的。 Veracode的网站2007年6月25日 CWE提到在2007年6月25日新闻发布会上万博下载包Veracode公司。题为”Veracode回答呼吁安全洞察行业的第一个软件安全评级服务“对他们的新软件安全评级服务评估和识别软件缺陷的严重程度和可利用性。 CWE首先提到的是新服务的基础的一部分:“Veracode的软件的安全评级服务是基于尊重行业标准包括斜方的共同弱点枚举(CWE)软件缺陷的分类和第一普通危险得分系统(CVSS)的严重程度和减轻的可利用性。”CWEis mentioned again when the release quotes CWE Technical Lead Steve Christey, who states: "We are pleased that Veracode, the first organization to declare Common Weakness Enumeration compatibility for CWE Coverage, CWE Output and CWE Searchable, is committed to promoting standards such as CWE. Early adopters such as Veracode play an important role in bringing clarity to the application security space for their customers." Veracode的一员CWE社区页面及其SecurityReview评估中列出的服务CWE兼容性和有效性部分。
网络计算,2007年4月16日 CWE中提到的是一个2007年4月16日文章题为“分析:自动代码扫描仪“在网络计算。本文的重点是“……自动源代码分析工具制造商焦点逐渐由商业软件供应商企业。他们说采用他们的工具将让你的开发人员构建更安全的软件,满足合规负担。但是他们的工作吗?”The remainder of the article is a discussion of the author's review of "three popular static source-code analyzers," Fortify SCA (Source Code Analysis) 4.0, Klocwork K7.5 and Ounce Labs' Ounce 4.1. CWE一节中提到的文章题为“源”指的是“在CVE漏洞类型分布“白皮书CVE列表编辑器和CWE技术主管Steve Christey当作者指出:“尤其是,算术漏洞,如整数溢出和类型转换,通常被错过或只发现在信心水平,包括假阳性的比例非常高。我们发现这有点令人不安的趋势在报道这些漏洞——事实上,整数溢出上升到2号位置在2006年操作系统供应商报告,仅次于缓冲区溢出,横切的共同弱点枚举10月报告(cwe.mitre.org/documents/vuln-trends/index.html # overall_trends)。” 这篇文章是由贾斯汀Schuh写的。
寄存器2007年3月29日 CWE技术主管Steve Christey引用在3月29日,2007篇题为“开发人员的安全编码技能考验”寄存器关于国家安全的编程技能评估(NSPSA)考试,将允许政府和工业雇主衡量他们的程序员知道如何避免自己写安全错误代码。作者首先引用Christey CVE列表的编辑,如下:“大部分的问题是因为计算机程序员不训练安全编程方法在大学课程中,Steve Christey说编辑器常见的漏洞和风险在横切(CVE)项目。”The author also quotes a written statement by Christey, who states: "Most educational institutions have failed to teach the most fundamental skills in making secure products. There needs to be a revolution." The article, which was written by Robert Lemos, also notes that the "[NSPSA] exam will be piloted in August in Washington D.C. and then rolled out worldwide during the remainder of 2007." 电脑,2007年3月28日 CWE技术主管Steve Christey引用在3月28日,2007篇题为“组织团队测试安全编码技巧”电脑关于国家安全的编程技能评估(NSPSA)考试,将允许政府和工业雇主衡量他们的程序员知道如何避免自己写安全错误代码。作者首先引用Christey CVE列表的编辑,如下:“大部分的问题是因为计算机程序员不训练安全编程方法在大学课程中,Steve Christey说编辑器常见的漏洞和风险在横切(CVE)项目。”The author also quotes a written statement by Christey, who states: "Most educational institutions have failed to teach the most fundamental skills in making secure products. There needs to be a revolution." The article, which was written by Robert Lemos, also notes that the "[NSPSA] exam will be piloted in August in Washington D.C. and then rolled out worldwide during the remainder of 2007." TechTarget.com,2007年3月27日 CWE技术主管Steve Christey引用在3月27日,2007篇题为“无:新考试程序更安全的代码”TechTarget.com关于国家安全的编程技能评估考试,将允许政府和工业雇主衡量他们的程序员知道如何避免自己写安全错误代码。作者形容CVE”(程序)代表联邦政府监控所有安全漏洞”,包括Christey报价,同时也是CVE列表编辑器,考试项目姗姗来迟:“回顾7000多个漏洞后仅在2006年,一件事情变得清楚:这些漏洞可能会很容易发现,使用技术,需要很少的专业知识。CVE工作,我经常与供应商互动惊讶的弱点在他们的产品。他们与经典的反应阶段的震惊、否认、愤怒、讨价还价,最后接受。”The article was written by Bill Brenner. 信息周,2007年3月26日 CWE技术主管Steve Christey引用中提到3月26日,2007篇题为“联盟的目标是将软件缺陷消灭在萌芽状态“在信息周关于国家安全的编程技能评估考试,将允许政府和工业雇主衡量他们的程序员知道如何避免自己写安全错误代码。Christey, CVE列表编辑器中,声明:“在回顾7000多个漏洞仅在2006年,一件事情变得晶莹剔透。这些漏洞可能会很容易发现,使用技术,需要很少的专业知识。CVE工作,我经常与供应商互动惊讶的弱点在他们的产品。他们与经典的反应阶段的震惊、否认、愤怒、讨价还价,最后接受。”A second quote mentions that most colleges and universities don't teach programmers how to write secure code: "There needs to be a revolution. Secure programming examinations will help everyone draw the line in the sand, to say 'No more,' and to set minimum expectations for the everyday developer." The article was written by Sharon Gaudin. 《华盛顿邮报》网站,2007年3月26日 CWE技术主管Steve Christey引用在3月26日2007博客文章题为“安全解决办法:他们说他们想要一场革命”WashingtonPost.com关于国家安全的编程技能评估考试,将允许政府和工业雇主衡量他们的程序员知道如何避免自己写安全错误代码。Christey, CVE列表编辑器中,引用如下:“教育机构生产计算机科学学位新鲜面临毕业生充满新思想和技能比赛,但如何他们锤回家需要编写软件安全吗?从软件漏洞的大量发现,每年不是很好。横切Corp .)一个非营利公司保持的一个最权威的软件安全漏洞的目录,追踪7000多2006年软件安全漏洞,其中许多Web应用程序漏洞。斜方的共同弱点枚举的编辑史蒂夫·克里斯蒂(CVE)数据库,说大部分的错误可以被发现和压扁”很容易,使用技术,需要很少的专业知识。” 政府计算机新闻万博下载包,2007年3月19日 CWE提到在2007年3月19日的文章题为“人人为我,但没有一个“在政府计算机新闻万博下载包。本文的重点是国家安全局(NSA)漏洞评估工具的有效性,研究发现,“组织试图自动化测试软件的过程漏洞别无选择,只能部署大量的工具。”The author quotes Kris Britton, technical director at NSA's Center for Assured Software, in describing the results: "No tool stands out as an uber-tool. Each [of the point solution tools] has its strengths and weaknesses." CWE的讨论中提到的协议软件的弱点是什么将如何帮助该行业在其“寻求全面、自动化系统分析的漏洞。”The author states: "Mitre Corp. has made some progress on developing a common language for software vulnerabilities, with its initial list of common vulnerabilities and exposures, (CVE) and more recently, the common weakness enumeration (CWE)." He also notes that "CVE includes a list of 20,000 vulnerabilities; CWE includes 600 categories of vulnerabilities." CWE is also mentioned in a quote by Ryan Berg, chief scientist at Ounce Labs, who states: "CVE is a database of vulnerabilities definitions and descriptions [and] CWE is an effort at coming up with a common taxonomy for describing what a particular vulnerability is." CWE is mentioned a third time in a quote by Mike Kass, software assurance project leader at the National Institute of Standards and Technology, who states that the point of CWE is to "enable more effective discussion, description, selection, and use of software security tools. [Still] There is little overlap among tools regarding what they claim to catch in the CWE. This creates questions for purchasers of tools regarding the tool's purported effectiveness and usefulness." The author also notes that: "More than 50 vendors are participating in the [CWE] effort." The article was written by Peter A. Buxbaum. g2zero,2007年3月17日 CWE的主要话题是3月17日2007篇题为“CWE缺陷字典希望简化分析代码分析供应商索赔”g2zero。本文描述了CWE是什么,列出了组织,声称CWE是“不仅仅是一本字典,但是一种源代码分析工具,”和评论,这将是有趣的监控CWE对该行业的影响。这篇文章实际上是一个回顾的文章CWE项目经理罗伯特·马丁在2007年3月出版的相声,国防工程杂志》上题为“被明确的安全漏洞。" 信息世界,2007年3月1日 CWE的主要焦点是3月1日2007篇文章信息世界题为“软件脆弱性指数取得进展”。这篇文章描述了CWE是什么,它提供了软件开发人员和收购者的好处,提到的几个来源用于创建列表,并描述了如何形成的最终草案列表。本文还包括CWE的报价项目经理罗伯特·马丁CWE的原因:“我们想评估工具要求盖什么,他们在寻找最有效。现在最好的测试是把工具一大堆代码,看看工具找到最漏洞,但是我们改变范式(CWE)到测试用例,我们现在看看答案我们可以评估工具发现什么,他们可以处理的复杂性。” 作者还转述马丁在描述CWE的创建列表:“CWE的研究不会列出产品的名称和性能结果是测试——由20多个公司,提供包括Cenzic、巩固,SPI动力学,Veracode,和Watchfire——但编译资源,提供了开发人员的工作类型的漏洞错过的一个想法的工具应该提供一个很大的价值。” 还包括由肖恩·巴纳姆引用,Cigital知识管理主管,关于CWE研究:“我们发现,只有不到一半的我们已经在CWE了这些工具,这有助于证明有很多已知的问题没有得到解决。我们还认为工具将寻找相同类型的东西,但他们实际上是非常不同的,不是有很多重叠;这是开发人员需要注意的,因为他们选择工具;你想对聚合的报道。” 关闭文章作者与CWE字典是如何被开发的描述:“每个版本CWE之前,工人与项目花费了大量的时间比较所有的脆弱性的定义和缓解分类指数,试图提炼并添加实际的例子中使用的语言描述攻击目标的缺陷。工作仍在继续,仍将是主要的焦点CWE的努力前进……包括工作不再强调术语描述常见问题基于攻击方法来利用他们。” 《计算机世界》,2007年3月1日 CWE的主要焦点是3月1日2007篇文章《计算机世界》题为“黑帽子:软件脆弱性指数取得进展”。这篇文章描述了CWE是什么,它提供了软件开发人员和收购者的好处,提到的几个来源用于创建列表,列表的描述最终草案正在形成,并指出CWE是由美国国土安全部。 作者还指出,尽管CWE工作完成日期涉及到“收集脆弱的格式和编码的各种方法用于识别和纠正问题,所涉及的项目最近大量的测试的安全扫描工具来得到一个更好的主意,这些产品的功能和限制”,而且“测试……透露,该产品正在寻找600年只有45%的常见的漏洞已经进入CWE指数。” 肖恩·巴纳姆的报价,Cigital知识管理总监,进一步解决了结果:“我们发现,只有不到一半的我们已经在CWE了这些工具,这有助于证明有很多已知的问题没有得到解决。我们还认为工具将寻找相同类型的东西,但他们实际上是非常不同的,不是有很多重叠;这是开发人员需要注意的,因为他们选择工具;你想对聚合的报道。” 作者总结这篇文章通过描述如何继续工作在CWE精炼中使用的语言描述,添加实际的例子的攻击目标的缺陷,和“不强调术语描述常见问题基于攻击方法来利用他们。” ZDNet.com,2007年3月1日 CWE的主要焦点是3月1日2007篇文章ZDNet.com题为“词典软件缺陷减少混乱吗?”这篇文章描述了CWE是什么,它提供了软件开发人员和收购者的好处,提到组织等Cigital承诺在他们的产品中加入CWE,描述了一个列表的最终草案正在形成。本文还包括CWE的报价技术主管Steve Christey CWE的创建:“没有一个通用的、高保真的描述这些软件的弱点,努力解决漏洞将零碎的在最好的情况下,只有解决问题的一部分。”The author then paraphrases Christey on the need for CWE because "coverage of early definitions by source code-checking tools is very slim." 本文还描述了创建CWE:“僧帽一直致力于CWE在过去的一年半。工作人员对项目汇总来自多个数据源的数据,包括安全工具制造商和统一。这被证明是一个艰巨的任务。仅300年已经包含一个列表错误类别。” 本文包括一个进展报告的最新草案:“词典第五草案是12月15日出版的。第六个草案预计合并数据关于弱点从16工具和知识来源参与CWE倡议”。 CNET 万博下载包News.com,2007年3月1日 CWE的主要焦点是3月1日2007篇文章CNET 万博下载包News.com题为“词典软件缺陷减少混乱吗?“ZDNet的是一篇转载文章。这篇文章是由约埃弗斯写的。 黑暗的阅读,2007年3月1日 CWE的主要焦点是3月1日2007篇文章黑暗的阅读题为“了解敌人更好”。作者指出:“安全应用程序的最佳方法是建立在开发阶段的安全。问题是,很少有标准或模板。”"In two separate presentations, experts from Mitre and Cigital -- two companies with long track records in government and industry standards -- outlined plans for the implementation of Common Weakness Enumeration (CWE) and Common Attack Pattern Enumeration and Classification (CAPEC), two specifications that could eventually help developers recognize weaknesses in their applications and anticipate common attack patterns that adversaries might use to break in." 本文描述了CAPEC和CWE,包括CWE是什么,CWE的好处提供了软件开发人员和收购者,以及如何CWE的最终稿形成列表。本文还包含一个引用CWE项目经理罗伯特·a·马丁表示:“这是一个常见的身体的知识软件保证将帮助开发人员将安全构建到他们的应用程序。资助的计划很大程度上由美国国土安全部(DHS),代表了约600项来自20多个供应商的工具,可以帮助识别软件的安全漏洞。” 相声,2007年3月 CWE是一篇文章的主题CWE项目经理罗伯特·马丁题为“被明确的安全漏洞”在2007年3月出版的相声,国防工程杂志》上。这篇文章描述了CWE的创建计划和资源用于开发初始概念,相关努力,CWE是如何一个社区的努力和当前成员的列表,如何CWE词典正在开发的草稿,CWE条目的一个例子,CWE兼容性和CWE效率计划,额外的影响和过渡与CWE的机会。 作者描述了社区贡献的重要性倡议如下:“CWE倡议的一个重要元素是透明的对我们所做的一切,我们如何做,我们使用的是开发CWE字典。我们相信这种透明度是很重要的在最初创建CWE字典,这样所有的参与者在CWE社区满意最终的结果,将不会犹豫将CWE纳入他们做什么。”The CWE dictionary is freely available for the public on the CWE Web site and "... all of the publicly available source content is [also] being hosted on the site for anyone to review or use for their own research and analysis." 本文作者总结如下:“这工作已经帮助形状和成熟的代码安全评估行业,它承诺将大幅加快automation-based的使用和效用评估的功能组织和他们获得的软件系统,开发和使用。”
|
