行业新闻报道- 2万博下载包014存档
行业新闻报道- 2万博下载包014存档下面是一个综合月度审核CWE的新闻和其他媒体的报道。万博下载包简要总结列出的每个新闻条目的标题、作者(如果确定万博下载包),日期,和媒体源。
网络安全博客冠冕,5月7日,2014年 CWE、CAPEC CVE”是一篇文章的主题帮助阻止Heartbleed安全标准“CAPEC技术导致了Buttner横切的网络安全博客上5月7日,2014年。“Heartbleed”cve - 2014 - 0160,是一个严重的漏洞在“某些版本的OpenSSL,它允许远程攻击者获取敏感信息,比如密码和加密密钥。许多流行的网站受到影响或风险,反过来,让无数的用户和消费者面临风险。” 本文定义了常见的漏洞和风险敞口(CVE®),常见的弱点枚举(CWE™),常见的攻击模式枚举和分类(CAPEC™)努力和解释了每个解决问题。 在部分题为“CVE和Heartbleed”、“CWE Heartbleed”和“CAPEC Heartbleed,”这篇文章描述了CVE帮助当问题成为公众通过分配CVE - 2014 - 0160,也被称为Heartbleed错误,以及如何CWE和CAPEC可以帮助防止未来的Heartbleeds。 本文作者总结如下:“安全自动化的努力如CVE、CWE CAPEC可以帮助减少的可能性将来Heartbleed等类似的严重漏洞。但它是义不容辞开发者和其他安全专家积极利用这些资源来更好的准备下一个Heartbleed。” 读完整篇文章//www.rongyidianshang.com/capabilities/cybersecurity/overview/cybersecurity-blog/security-standards-help-stop-heartbleed。
2014年4月29日,ContinuousAssurance.org网站 CWE和常见的漏洞和风险敞口(CVE®)2014年4月29日,是作为引用包括白皮书题为“为什么软件保证工具有问题找到虫子喜欢Heartbleed吗?”由詹姆斯·a . Kupsch和巴顿p·米勒的软件保证市场(沼泽)威斯康辛大学麦迪逊,威斯康辛州,美国。以下被认为是引用白皮书,包括网址:cve - 2014 - 0160,cwe - 130:处理不当的长度参数不一致,cwe - 125:禁止入内的阅读。 CrosstalkOnline.org网站,2014年3月/ 4月 CWE的序言中提到3月/ 2014年4月的问题相声:《防御软件工程的主题是“减轻风险的假冒和污染的组件。" 序言是由罗伯塔Stempfley的代理助理国务卿美国国土安全部的网络安全办公室和通讯,CVE提到如下:“我们如何协作协调行业和政府应对这些攻击(在信息和通讯技术(ICT)资产)?方法之一是通过常见的漏洞和风险敞口(CVE)列表,这是一个广泛的公开已知的漏洞发现清单后ICT组件部署。由美国国土安全部(DHS),无处不在的CVE的采用使得沟通的公共和私营部门以一致的方式在国内外商业和开源软件的漏洞。CVE使我们操作组优先,近60000公开报道漏洞补丁,和纠正。不幸的是,漏洞正在迅速增殖从而延伸我们的能力和资源。当我们试图发现和减轻这些弱点的根源,分享他们的知识我们可以帮助减轻其影响。为了跟上的威胁,我们必须促进自动化的信息交换。实现,国土安全部赞助商“免费使用”的标准,如:常见的弱点枚举(CWE),它提供了讨论和缓解的建筑,设计,和编码缺陷之前介绍了在开发和使用;常见的攻击模式枚举和分类(CAPEC),使开发者和维护者来辨别攻击和构建软件对他们;恶意软件属性枚举和表征(MAEC)编码和高保真恶意软件基于信息沟通行为,工件,和攻击模式; Structured Threat Information eXpression (STIX), which conveys the full range of potential cyber threat information using the Trusted Automated eXchange of Indicator Information." 整个问题是免费提供各种格式的http://www.crosstalkonline.org/。 CrosstalkOnline.org网站,2014年3月/ 4月 CWE和常见的V易损性和曝光(CVE®)都包含在一篇文章写的斜方高级首席工程师罗伯特·马丁题为“无恶意的污染:糟糕的卫生不怀好意一样危险的任务“3月/ 2014年4月的问题相声:《防御软件工程的主题是“减轻风险的假冒和污染的组件。" CWE和CVE中提到一段题为“通过业务价值做出改变,”如下:“一个行为改变一个行业出于一个新的商业价值,考虑到目前的许多供应商做公共披露这样做,因为他们想要包括CVE[14]报告给客户的标识符。然而,他们不可能CVE标识符分配给一个漏洞问题直到有公开信息CVE关联的问题。供应商是动机包括CVE标识符将请求从大型企业客户想要的信息,这样他们可以跟踪他们的漏洞补丁使用商用工具/补救措施。CVE标识符是他们计划将这些工具集成的方式。基本价值主张的社区创造一个生态系统,影响了软件产品供应商(以及脆弱性管理供应商)做事,帮助社区,作为一个整体,更有效地发挥自身作用。同样,大型企业利用CWE标识符来协调和相关内部软件质量/安全审查和其他保证措施。从这个起点,他们一直在问笔测试服务和工具社区CWE标识符包含在他们的发现。CWE标识符时发现是其他人认为是好的做法,直到笔测试行业参与者的商业价值有意义,他们开始采用和推广最先进的,以更好地利用它们。” CWE也提到了一段名为“保证最危险的无恶意的问题”,解释了信息”CWE是什么以及如何能协助项目人员计划保证活动;它将使他们更好地结合弱点导致特定的分组技术影响的清单具体检测方法。这提供了信息的存在特定的缺点,使他们能够确保危险的解决。” 整个问题是免费提供各种格式的http://www.crosstalkonline.org/。
|
