CWE术语表定义

行业新闻报道- 2万博下载包013存档
行业新闻报道- 2万博下载包013存档

下面是一个综合月度审核CWE的新闻和其他媒体的报道。万博下载包简要总结列出的每个新闻条目的标题、作者(如果确定万博下载包),日期,和媒体源。

美国国防部高级研究计划局的网站2013年12月24日

CWE中提到美国国防高级研究计划局(DARPA)”网络大挑战“12月24日宣布,2013年的一个常见问题文档。“DARPA网络挑战赛(公司治理文化)是完全自动化的网络防御的比赛。目前类似于计算机安全竞赛由专家软件分析师,竞争的公司治理文化打算允许开创性的原型系统首次在“自己的联赛。”During the competition, automatic systems would reason about software flaws, formulate patches and deploy them on a network in real time."

CWE是两个答案中提到http://cwe.mitre.org/遵循;鼓励团队利用这个列表作为一个起点,而不是参考。”The answer to A10 also lists 39 individual CWE entries by CWE-IDs, for example, "CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow'), etc.".

看到https://dtsn.darpa.mil/CyberGrandChallenge/default.aspx额外的信息。

高科技桥网站,2013年7月2日

CWE和常见的漏洞和风险敞口(CVEA®)2013年7月2日的主题,新闻稿高科技桥山《一个€œSaaS ImmuniWeb网络安全评估认证CVE CWE兼容一个€ImmuniWeb产品实现这两个目标官方CWE-Compatible地位和官方CVE-Compatible的地位。

CWE的版本还包括一个报价项目经理罗伯特·马丁,谁状态:一个€œWe总是兴奋的CVE和CWE努力采用和商业产品中使用,但尤其可喜时由公司在其他国家和市场,像高科技的桥。利用CVE和CWE ImmuniWeb无疑会使商业意识和它直接帮助客户提高速度和直接解决漏洞和弱点,把组织€™s风险。”

高科技Bridgea€™sCWE ImmuniWeb兼容性调查问卷可用的一部分组织的清单吗CWE-Compatible产品和服务CWE网站页面。

NetworkWorld.com2013年6月14日

CWE和常见的漏洞和风险敞口(CVEA®)中提到的6月14日,2013篇题为€œ吗分解OWASP 2013年十大安全漏洞:2010年从OWASP的列表和为什么一个€上NetworkWorld.com一个€™s€œ安全保障一个€博客。

CWE和CVE一节中提到的关于web应用程序为什么拒绝服务攻击(DoS)攻击是不包含在引号CWE / CVE OWASP列表技术主管史蒂夫•Christey如下:€œRegarding应用DoS€“我夫人€™t知道我们应该如此不屑一顾。(负面)评论Ia€™已经出现在应用程序DoS是专注于基于网络的攻击。(然而,)还有其他资源消耗流行在CVE漏洞,如无限制的XML实体扩张,即一个€œbillion laughsa€(cwe - 776)(导致一个DoS由于)内存消耗。另一个例子是算法复杂度包括哈希碰撞,减缓哈希表查找,大约一年前风靡一时,(导致一个DoS由于)的CPU消耗。最近,Ruby和/或基于Ruby的应用已经得到了许多其他资源消耗问题,比如内存DoS通过强制创建大量symbols.a€

Christey继续,€œWhile我夫人€™t知道这些都是剥削,他们可能很难检测,或者他们多久€™会利用在未来,这些类型的应用程序DoS问题越来越受欢迎。随着代码漏洞变得难找,我想我们会看到更多这样的。这可能不是OWASP十大到需要包容,但绝对是要注意for.a€

这篇文章的作者是乔纳森·兰普。

BrightTalk.com,2013年2月21日

“可测量的软件保证应对预期的威胁“简报可以作为网络直播BrightTalk.com。发布会上,提出了由CWE / CAPEC项目经理罗伯特·马丁国土安全部软件保证2013年峰会马里兰州盖瑟斯堡2013年2月21日,美国,包括讨论常见的弱点枚举(CWE™),常见的攻击模式枚举和分类(CAPEC™),常见的弱点评分系统(水煤浆™),常见的弱点风险分析框架(CWRAF™),细节如何“使用结构化保证case工具和方法可以缓解的导航和解释是为了解决第三方审查制度的弱点和演变,理解为什么有人应该有信心和保证系统在它的生命周期。”