万博下载包新闻和事件- 2007存档
万博下载包新闻和事件- 2007存档
CWE呈现简报波士顿软件过程改进网络12月18日 CWE项目经理罗伯特·马丁提出一个关于CWE的简报波士顿软件过程改进网络(旋转)2007年12月18日在贝德福德,马萨诸塞州,美国。 参观CWE日历页面信息和其他即将来临的事件。联系cwe@mitre.orgCWE呈现一个简报或参与小组讨论CWE,CVE,CAPEC,CCE,芝加哥商品交易所,中东欧,CPE,CRF,椭圆形和/或使安全可衡量的在你的事件。
差异报告添加到CWE部分列表 一个差异报告添加到页面CWE列表部分CWE网的网站。差异报告已经发布了版本5到6和版本6 - 7所示。 CWE展示会上去波士顿的软件过程改进网络12月18日 CWE项目经理罗伯特·马丁将呈现一个简报CWE的波士顿软件过程改进网络(SPIN) 12月18日,2007年在贝德福德,马萨诸塞州,美国。一篇文章有一个不正确的日期。 参观CWE日历页面信息和其他即将来临的事件。 斜方举办“安全”可衡量的展位2008信息保障车间,1月28日- 2月1日 斜接预定举办的安全可衡量的参展商展位2008信息保障车间1月28日- 2月1日,2008年在费城,费城市中心的万豪美国宾夕法尼亚州。会议将公开CWE、CAPEC CVE,生产区、CPE、芝加哥商品交易所,椭圆形,使安全的努力从政府和行业信息安全专业人士。 参观CWE日历页面信息和其他即将来临的事件。 CWE呈现简报国土安全部/国防部SwA工作组会议会话 CWE项目经理罗伯特·马丁将呈现一个简报CWE的国土安全部/国防部SwA工作组会议会话1月30日- 2月2日,2008年在美国弗吉尼亚州麦克莱恩。 参观CWE日历页面信息和其他即将来临的事件。
CWE展示会上去波士顿的软件过程改进网络12月8日 CWE项目经理罗伯特·马丁将CWE的简报波士顿软件过程改进网络(旋转)2007年12月8日在贝德福德,马萨诸塞州,美国。 参观CWE日历页面信息和其他即将来临的事件。联系cwe@mitre.orgCWE呈现一个简报或参与小组讨论CWE,CVE,CAPEC,CCE,芝加哥商品交易所,CPE,椭圆形和/或使安全可衡量的在你的事件。 CWE礼物简报,静态分析峰会三世11月8日 CWE项目经理罗伯特·马丁提出CWE吹风会静态分析峰会三世2007年11月8日在凯悦公平湖酒店在费尔法克斯,美国弗吉尼亚州。 参观CWE日历页面信息和其他即将来临的事件。 CWE礼物两个简报CSI 200711月6日 CWE项目经理罗伯特·马丁提出两个简报CWE /使安全可衡量的在CSI 20072007年11月6日在凯悦酒店水晶城市阿灵顿,弗吉尼亚州,美国。 参观CWE日历页面信息和其他即将来临的事件。 CWE礼物简报,验证会议10月29日 CWE项目经理罗伯特·马丁提出CWE吹风会验证会议2007年10月29日,在阿灵顿的皇冠广场酒店,维吉尼亚州,美国。 参观CWE日历页面信息和其他即将来临的事件。 CWE礼物简报,战术信息保障200710月26日 CWE项目经理罗伯特·马丁将提出关于CWE /简报使安全可衡量的在战术信息保障20072007年10月26日在华盛顿的乔治城大学会议中心,华盛顿特区,美国。 参观CWE日历页面信息和其他即将来临的事件。
2007年10月17日,
2007年10月17日,
CWE礼物简报,国土安全部/国防部SwA论坛10月2 - 3 CWE项目经理罗伯特·马丁提出关于CWE的简报美国国土安全部(DHS) /国防部(DoD)软件保证(SwA)论坛2007年10月2 - 3日在麦克莱恩,麦克莱恩希尔顿美国弗吉尼亚州。 参观CWE日历页面信息和其他即将来临的事件。联系cwe@mitre.orgCWE呈现一个简报或参与小组讨论CWE,CVE,CAPEC,CCE,芝加哥商品交易所,CPE,椭圆形和/或使安全可衡量的在你的事件。
第七个草案CWE现在可用 CWE的第七稿已经张贴在CWE列表页面。它包含了大量的改变提高一致性,CWE的支持更多类型的视图内容,包括各种各样的编辑建议CWE研究社区的成员。 在准备CWE草案7CWE团队积极征求CWE研究员社区反馈如下:9月问题CWE草案6,管理节点CWE的重组,主要讨论点确定,可能产生重大影响的未来版本CWE,使用场景,利益相关者分析和讨论当前和其他可能的CWE的观点。大部分的讨论发生在公众CWE-Research邮件列表,存档可用CWE网站供公众审查。支持这些讨论CWE团队增加了一个“CWE研究页面“社区部分的网站,包括系统性的描述问题,利益相关者和用例;为即将到来的月计划;和其他支持文档。CWE团队齐心协力社区反应并将它们纳入草案7,和足够的社区审查后,输入最新的草案,CWE团队将做出最终决定最好的方式进行,相应地修改CWE草案8。 我们欢迎任何关于CWE的评论cwe@mitre.org。 CWE呈现简报国土安全部/国防部SwA论坛10月2 - 3 CWE项目经理罗伯特·马丁将提交一份关于CWE的简报美国国土安全部(DHS) /国防部(DoD)软件保证(SwA)论坛2007年10月2 - 3日在麦克莱恩,麦克莱恩希尔顿美国弗吉尼亚州。 参观CWE日历页面信息和其他即将来临的事件。联系cwe@mitre.orgCWE呈现一个简报或参与小组讨论CWE,CVE,CAPEC,CCE,芝加哥商品交易所,CPE,椭圆形和/或使安全可衡量的在你的事件。 CWE呈现简报战术信息保障200710月26日 CWE项目经理罗伯特·马丁将简报CWE /使安全可衡量的在战术信息保障20072007年10月26日在华盛顿的乔治城大学会议中心,华盛顿特区,美国。 参观CWE日历页面信息和其他即将来临的事件。 CWE呈现简报验证会议10月29日 CWE项目经理罗伯特·马丁将目前CWE吹风会验证会议2007年10月29日,在阿灵顿的皇冠广场酒店,维吉尼亚州,美国。 参观CWE日历页面信息和其他即将来临的事件。 CWE礼物简报,ESC集成周9月18日 CWE项目经理罗伯特·马丁提出关于CWE /简报使安全可衡量的在ESC集成周2007年9月18日在HANSCOM空军基地,美国马萨诸塞州。 参观CWE日历页面信息和其他即将来临的事件。 CWE包括在安全可衡量的展台安全自动化会议20079月19日至20日 斜方举办了一个使安全可衡量的参展商展位的美国国家标准与技术研究院(NIST)安全自动化会议&车间200719日,2007年在美国马里兰州盖瑟斯堡。CWE会议暴露,CVE,CAPEC,CCE,芝加哥商品交易所,CPE,椭圆形,使安全可衡量的努力从政府和行业信息安全专业人士。 参观CWE日历页面信息和其他即将来临的事件。
CWE呈现简报ESC集成周9月18日 CWE项目经理罗伯特·马丁将简报CWE /使安全可衡量的在ESC集成周2007年9月18日在HANSCOM空军基地,美国马萨诸塞州。 参观CWE日历页面信息和其他即将来临的事件。联系cwe@mitre.orgCWE呈现一个简报或参与小组讨论CWE,CAPEC,CVE,CCE,芝加哥商品交易所,CPE,椭圆形和/或使安全可衡量的在你的事件。 CWE包括在安全可衡量的展台安全自动化会议20079月19日至20日的会议, 主教法冠将主办一个使安全可衡量的参展商展位的美国国家标准与技术研究院(NIST)安全自动化会议&车间200719日,2007年在美国马里兰州盖瑟斯堡。CWE会议将暴露,CAPEC,CVE,CCE,芝加哥商品交易所,CPE,椭圆形,使安全可衡量的努力从政府和行业信息安全专业人士。 参观CWE日历页面信息和其他即将来临的事件。 CWE中提到信息世界/计算机世界文章 CWE被提及两次在8月1日,2007篇题为“国家安全局专家称赞安全情报共享“在信息世界转载(8月2日,2007年《计算机世界》)。本文的主题是国家安全局的主旨演讲脆弱性分析和操作组首席托尼老练的人黑帽简报2007关于“美国政府举措,旨在促进整个联邦的安全情报的共享空间正在帮助建立必要的社区氛围和最佳实践来帮助那些机构和民营企业改善他们的网络和应用程序防御…”提到了CWE和常见的漏洞和风险(CVE)项目。 CWE首先是在文章中提到如下:“一个主要元素的愿景是推动标准安全情报转化为语言,任何组织都可以解释,萨格尔说。他强调了共同弱点枚举(CWE)项目,旨在创建一个共同的语言识别软件的漏洞是由国土安全部和非盈利斜方——作为一个例子的类型的标准,是实现国家安全局的目标。” CWE再次提到的引用CWE项目经理罗伯特·马丁状态:“这些不同部分合在一起,我们是标准化保障自己的基本概念以及复习方法,提高计算和网络系统。我看到一个未来,一个tapestry的工具,过程和过程是建立在时间的基础上,识别和解决常见问题,存在所有这些选区之一。” CWE包含在播客BankInfoSecurity.com CWE项目经理罗伯特·马丁进行了10分钟访谈内容与BankInfoSecurity.com关于CWE,CVE,使安全可衡量的在黑帽简报2007。它是九采访从可用的事件http://www.bankinfosecurity.com/podcasts.php?podcastID=53(需要注册),或者你可以播放或下载播客现在从CWE的网站。 “不可原谅的弱点”简报现在CWE文档页面上可用 CWE技术主管Steve Christey提出了一个“Turbo-Talk”黑帽简报20072007年8月2日题为“不可原谅的弱点”。说话是受欢迎的,80位观众,包括几个关键Web应用程序安全社区的成员。发布会上公布的公共CWE文档页面。 联系cwe@mitre.orgCWE呈现一个简报或参与小组讨论CWE,CAPEC,CVE,CCE,芝加哥商品交易所,CPE,椭圆形和/或使安全可衡量的在你的事件。 展位的照片黑帽简报2007 斜方举办了一个使安全可衡量的参展商展位,其中包括CWE和CAPEC为主题黑帽简报20072007年8月1 - 2日,在拉斯维加斯的凯撒宫殿,内华达州,美国。见下面的照片:
参观CWE日历页面信息和其他即将来临的事件。
CWE包括在展台黑帽简报2007 斜方举办了一个使安全可衡量的参展商展位在黑帽简报20072007年8月1 - 2日,在拉斯维加斯的凯撒宫殿,内华达州,美国。CWE会议暴露,CAPEC,CVE,CCE,芝加哥商品交易所,CPE,椭圆形,使安全可衡量的努力不同受众的信息安全与会者来自世界各地。 参观CWE日历页面信息和其他即将来临的事件。
SANS研究所让宣言CWE兼容性 SANS研究所宣布,其职业安全编程考试,考试安全编程/评估,将CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。 CWE Veracode的新闻稿中提到对其新的“软件安全评级服务” CWE提到在2007年6月25日新闻发布会上万博下载包Veracode公司。题为“Veracode回答呼吁安全洞察行业的第一个软件安全评级服务“对他们的新软件安全评级服务评估和识别软件缺陷的严重程度和可利用性。 CWE首先提到的是新服务的基础的一部分:“Veracode的软件的安全评级服务是基于尊重行业标准包括斜方的共同弱点枚举(CWE)软件缺陷的分类和第一普通危险得分系统(CVSS)的严重程度和减轻的可利用性。”CWEis mentioned again when the release quotes CWE Technical Lead Steve Christey, who states: "We are pleased that Veracode, the first organization to declare Common Weakness Enumeration compatibility for CWE Coverage, CWE Output and CWE Searchable, is committed to promoting standards such as CWE. Early adopters such as Veracode play an important role in bringing clarity to the application security space for their customers." Veracode的一员CWE社区页面及其SecurityReview评估中列出的服务CWE兼容性和有效性部分。 CWE中提到信息世界篇关于Veracode的新评级服务 CWE提到在2007年6月25日,文章题为“Veracode首次系统二进制代码测试:基于标准的方法将允许企业扫描程序的二进制代码投入生产之前的问题”信息世界。本文的主题是Veracode, Inc .)新软件安全评级服务评估和识别软件缺陷的严重程度和可利用性。 CWE是当作者提到:“支持其评级服务——客户可以使用它来测试自己的本土应用程序的代码或第三方供应商,公司建立了一个基于CWE评分系统(常见的弱点枚举)分类,它已经被联邦政府资助的转发安全监督僧帽,以及CVSS(普通危险得分系统),已由第一个驾驶事件反应和安全队(论坛)工业集团。” Veracode的一员CWE社区页面及其SecurityReview评估中列出的服务CWE兼容性和有效性部分。这篇文章也转载《计算机世界》2007年6月26日。 CWE包括在展台黑帽简报2007 主教法冠将主办一个使安全可衡量的参展商展位在黑帽简报20072007年8月1 - 2日,在拉斯维加斯的凯撒宫殿,内华达州,美国。CWE会议将暴露,CAPEC,CVE,CCE,芝加哥商品交易所,CPE,椭圆形,使安全可衡量的努力不同受众的信息安全与会者来自世界各地。 参观CWE日历页面信息和其他即将来临的事件。 CWE参与小组讨论GFIRST会议 CWE项目经理罗伯特·马丁参加讨论小组题为“软件保证(SwA)面板:减少风险敞口面对应用层威胁”的第三届GFIRST会议2007年6月26日在奥兰多,佛罗里达州,美国。 参观CWE日历页面信息和其他即将来临的事件。联系cwe@mitre.orgCWE呈现一个简报或参与小组讨论CWE,CAPEC,CVE,CCE,芝加哥商品交易所,CPE,椭圆形和/或使安全可衡量的在你的事件。 CWE礼物简报,系统和软件技术会议 CWE项目经理罗伯特·马丁提出一个关于CWE和简报使安全可衡量的题为“创建一个安全的体系结构作为合规的基础”第19届系统和软件技术会议(SSTC) 2007年6月20日,2007年美国佛罗里达州坦帕市。 参观CWE日历页面信息和其他即将来临的事件。联系cwe@mitre.orgCWE呈现一个简报或参与小组讨论CWE,CAPEC,CVE,CCE,芝加哥商品交易所,CPE,椭圆形和/或使安全可衡量的在你的事件。
CWE呈现简报系统和软件技术会议 CWE项目经理罗伯特·马丁将提交一份关于CWE和简报使安全可衡量的题为“创建一个安全的体系结构作为合规的基础”第19届系统和软件技术会议(SSTC) 20072007年6月20日在坦帕市,佛罗里达州,美国。 参观CWE日历页面信息和其他即将来临的事件。 CWE参与小组讨论GFIRST会议 CWE项目经理罗伯特·马丁将参与小组讨论题为“软件保证(SwA)面板:减少风险敞口面对应用层威胁”的第三届GFIRST会议2007年6月26日在奥兰多,佛罗里达州,美国。 参观CWE日历页面信息和其他即将来临的事件。 CWE礼物简报,信息保障会议的太平洋 CWE项目经理罗伯特·马丁提出一个关于CWE和简报使安全可衡量的在信息保障会议的太平洋2007年6月13日在檀香山,夏威夷,美国。 参观CWE日历页面信息和其他即将来临的事件。 CWE礼物简报EMC的软件工程的劳动力 CWE项目经理罗伯特·马丁提出一个关于CWE和简报使安全可衡量的来EMC公司的软件工程的劳动力2007年6月1日数据,麻萨诸塞州,美国。 参观CWE日历页面信息和其他即将来临的事件。
更新在CVE漏洞类型分布白皮书现在可用 2007年5月进行了一次更新在CVE漏洞类型分布贴在了吗CWE文档页面。最早出版于2006年10月,2007年5月22日,这个更新CWE技术领导/写的常见的漏洞和风险(CVE)列表编辑史蒂夫Christey和CWE项目经理罗伯特·马丁现在包括2006年的数据,探讨了高层的漏洞类型已经公开报道在过去的五年,如缓冲区溢出,跨站点脚本(XSS), SQL注入和PHP文件包含。本文还确定和解释趋势如Web应用程序漏洞的迅速崛起,涵盖了脆弱性的分布类型操作系统供应商报告,并比较开放和封闭的问题报告报告来源。 CWE礼物简报,AusCERT 2007 CWE项目经理罗伯特·马丁提出一个关于CWE和简报CVE题为“在CVE漏洞类型分布“2007年5月22日AusCERT 2007在皇家松树度假村在黄金海岸,澳大利亚。表示是基于最近更新在CVE漏洞类型分布白皮书(2007年5月22日)现在包括2006年数据和分析。 参观CWE日历页面信息和其他即将来临的事件。 CWE礼物在国土安全部/国防部SwA工作组会议简报 CWE项目经理罗伯特·马丁提出简报CWE的美国国土安全部(DHS) /国防部(DoD)软件保证(SwA)工作组会议在5月15 - 17日,2007年在美国弗吉尼亚州阿灵顿。 参观CWE日历页面信息和其他即将来临的事件。 CWE礼物波士顿联席会议简报软件过程改进网络/软件质量的新英格兰 CWE项目经理罗伯特·马丁提出一个关于CWE和简报使安全可衡量的联席会议波士顿软件过程改进网络(旋转)和软件质量的新英格兰(SQNE)会议题为“可利用的软件:新的安全问题后“世界”5月9日,2007年在美国马萨诸塞州伯灵顿。 参观CWE日历页面信息和其他即将来临的事件。
第六个草案CWE现在可用 CWE的第六稿已经张贴在CWE列表页面。这个更新包括(1)额外的描述和移植的大约27项,(2)小修订和更新大约100项基于捐赠信息,和(3)几个修改的名称和结构层次视图以反映新的和修改CWE的内容。这些变化大多从最初插入更多的材料导致CWE的16个公司在保密协议。 CWE正式的列表是一个由社区开发的通用软件的弱点。CWE的目的是作为一种共同的语言来描述软件安全漏洞的架构,设计,或代码;作为软件安全的标准衡量标尺工具针对这些弱点;并提供一个共同的基准标准识别弱点,缓解和预防工作。广泛采用CWE社区将帮助塑造和成熟代码安全评估行业也大大加速软件的使用和效用保证能力组织审查他们获取或开发的软件系统。 这个建筑CWE的当前步骤包括收集数据的弱点十七工具和知识参与CWE的来源。添加和修改这些贡献的过程,将在七分之一准备好时。我们欢迎任何关于CWE的评论cwe@mitre.org。 CWE扫描仪在文章中提到的关于自动化代码网络计算 CWE中提到的是一个2007年4月16日文章题为“分析:自动代码扫描仪“在网络计算。本文的重点是“……自动源代码分析工具制造商焦点逐渐由商业软件供应商企业。他们说采用他们的工具将让你的开发人员构建更安全的软件,满足合规负担。但是他们的工作吗?”The remainder of the article is a discussion of the author's review of "three popular static source-code analyzers," Fortify SCA (Source Code Analysis) 4.0, Klocwork K7.5 and Ounce Labs' Ounce 4.1. CWE一节中提到的文章题为“源”指的是“在CVE漏洞类型分布“白皮书CVE列表编辑器和CWE技术主管Steve Christey当作者指出:“尤其是,算术漏洞,如整数溢出和类型转换,通常被错过或只发现在信心水平,包括假阳性的比例非常高。我们发现这有点令人不安的趋势在报道这些漏洞——事实上,整数溢出上升到2号位置在2006年操作系统供应商报告,仅次于缓冲区溢出,横切的共同弱点枚举10月报告(cwe.mitre.org/documents/vuln-trends/index.html # overall_trends)。” CWE呈现简报在波士顿联席会议软件过程改进网络/软件质量的新英格兰5月9日 CWE项目经理罗伯特·马丁将提交一份关于CWE简报,使安全可衡量的联席会议波士顿软件过程改进网络(旋转)和软件质量的新英格兰(SQNE)会议题为“可利用的软件:新的安全问题后“世界”5月9日,2007年在美国马萨诸塞州伯灵顿。 参观CWE日历页面信息和其他即将来临的事件。 CWE礼物在米的简报政府遵从性和网络安全培训班4月10日 CWE项目经理罗伯特·马丁提出一个关于CWE和简报CVE题为“尽职调查软件:软件安全评估标准”在米政府遵从性和网络安全培训班于2007年4月10日在华盛顿特区。 参观CWE日历页面信息和其他即将来临的事件。
CWE团队参与无宣布“国家安全编程技能评估考试”倡议 CWE项目经理罗伯特·马丁和技术主管Steven m . Christey参加了SANS研究所公告在马里兰州的无,2007年3月26日,美国发射的国家安全的编程技能评估(NSPSA)考试计划,使政府和工业雇主衡量他们的程序员知道如何避免安全错误在代码中他们写道。CWE团队共事SANS研究所和其他主要开发NSPSA安全软件专家。 众多新闻媒体文章的万博下载包声明包括“无:新考试程序更安全的代码”TechTarget.com”,组织团队测试安全编码技巧”电脑”,开发人员的安全编码技能考验”寄存器”,联盟的目标是将软件缺陷消灭在萌芽状态”信息周,“安全解决办法:他们说他们想要一场革命”WashingtonPost.com,所有这些由Christey引用的一份书面声明中,他也是CVE列表编辑器关于考试程序的必要性:“回顾7000多个漏洞后仅在2006年,一件事情变得清楚:这些漏洞可能会很容易发现,使用技术,需要很少的专业知识。CVE工作,我经常与供应商互动惊讶的弱点在他们的产品。他们与经典的反应阶段的震惊、否认、愤怒、讨价还价,最后接受。”一个second quote used in some of the articles mentions that most colleges and universities don't teach programmers how to write secure code: "There needs to be a revolution. Secure programming examinations will help everyone draw the line in the sand, to say 'No more,' and to set minimum expectations for the everyday developer." NSPSA倡议将驾驶今年8月在华盛顿特区美国,然后推出全球在2007年的其余部分。 CWE呈现在米的简报政府遵从性和网络安全培训班4月10日 CWE项目经理罗伯特·马丁将提交一份关于CWE和简报CVE在米的“政府遵从性和网络安全培训班”于2007年4月10日在华盛顿特区。 参观CWE日历页面信息和其他即将来临的事件。 CWE主机布斯在信息安全世界20073月19日 CWE联合举办了一次使安全可衡量的参展商展位在信息安全世界2007年会议和博览会2007年3月19日,在罗森瓦溪旅游胜地奥兰多,佛罗里达州,美国。会议暴露斜接的CWE,CVE,CCE,芝加哥商品交易所,CPE,椭圆形努力不同观众的与会者从银行、金融、房地产、保险、和医疗保健行业等。会议是针对信息安全政策和决策者从这些和其他行业,以及董事和经理的信息安全、cio、网络和系统安全管理员,审计师,系统规划者和分析师、系统管理员、软件和应用程序开发人员,工程师,系统集成商,战略规划者和其他信息安全专业人士。 参观CWE日历页面信息和其他即将来临的事件。
斜方发射同伴网站常见的攻击模式枚举和分类(CAPEC)的努力 斜方启动了一个新的网站支持常见的攻击模式枚举和表征(CAPEC)努力像CWE的资助美国国土安全部的一部分软件保证战略主动国家网络安全部门。由Cigital公司。,CAPEC同伴努力CWE CAPEC构建和形式化攻击模式的讨论,用来对付CWE描述的缺点。 CAPEC的目的是提供一个公开目录的攻击模式和综合模式和类别分类。在这个初始审核期CAPEC网站是托管模式和草案内容,需要软件社区的成员注册以访问信息和提供意见。这样目录将继续发展与公众参与和贡献安全形成一个标准的机制来识别、收集、提炼和共享软件社区之间的攻击模式。 请发送任何评论或问题capec@mitre.org。 GrammaTech公司使宣言CWE兼容性 GrammaTech公司。宣布,其静态分析工具、CodeSonar将CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。 两个组织加入CWE社区 另外两个组织也加入了CWE社区,GrammaTech公司。和SureLogic公司。CWE社区的成员一起工作来创建特定的和简洁的定义为每个元素CWE列表。通过利用尽可能广泛的利益集团和天赋我们希望确保CWE元素充分描述和区分。 现在有43个来自世界各地的组织参与CWE倡议。参观CWE社区页面的完整列表。 CWE礼物简报&参与小组讨论OMG软件保证车间3月5日至7日 CWE项目经理罗伯特·马丁提出简报题为“认证申请已知的安全漏洞:常见弱点枚举(CWE)努力”的OMG软件保证车间2007年3月5日至7日,在凯悦公平湖泊在费尔法克斯,美国弗吉尼亚州。此外,CWE团队的成员主持讨论小组题为“将标准软件源代码安全评估”,也包括在内CWE社区成员Fority软件,盎司实验室、国家安全局、Watchfire, Veracode。 CWE也主办了一个参展商展位的活动。参观CWE日历页面信息和其他即将来临的事件。
Armorize Technologies, Inc .使三个声明CWE的兼容性 Armorize技术公司。宣布其Web应用程序源代码分析套件,CodeSecure匹配器,Web应用程序源代码分析工具,CodeSecure企业及其Web应用程序源代码分析工具,将CWE-Compatible CodeSecure工作台,。关于这些和其他兼容产品的附加信息,访问CWE兼容性和有效性部分。 CWE文章的主要焦点信息世界 CWE的主要焦点是3月1日2007篇文章信息世界题为“软件脆弱性指数取得进展”。这篇文章描述了CWE是什么,它提供了软件开发人员和收购者的好处,提到的几个来源用于创建列表,并描述了如何形成的最终草案列表。本文还包括CWE的报价项目经理罗伯特·马丁CWE的原因:“我们想评估工具要求盖什么,他们在寻找最有效。现在最好的测试是把工具一大堆代码,看看工具找到最漏洞,但是我们改变范式(CWE)到测试用例,我们现在看看答案我们可以评估工具发现什么,他们可以处理的复杂性。” 作者还转述马丁在描述CWE的创建列表:“CWE的研究不会列出产品的名称和性能结果是测试——由20多个公司,提供包括Cenzic、巩固,SPI动力学,Veracode,和Watchfire——但编译资源,提供了开发人员的工作类型的漏洞错过的一个想法的工具应该提供一个很大的价值。” 还包括由肖恩·巴纳姆引用,Cigital知识管理主管,关于CWE研究:“我们发现,只有不到一半的我们已经在CWE了这些工具,这有助于证明有很多已知的问题没有得到解决。我们还认为工具将寻找相同类型的东西,但他们实际上是非常不同的,不是有很多重叠;这是开发人员需要注意的,因为他们选择工具;你想对聚合的报道。” 关闭文章作者与CWE字典是如何被开发的描述:“每个版本CWE之前,工人与项目花费了大量的时间比较所有的脆弱性的定义和缓解分类指数,试图提炼并添加实际的例子中使用的语言描述攻击目标的缺陷。工作仍在继续,仍将是主要的焦点CWE的努力前进……包括工作不再强调术语描述常见问题基于攻击方法来利用他们。” CWE文章的主要焦点《计算机世界》 CWE的主要焦点是3月1日2007篇文章《计算机世界》题为“黑帽子:软件脆弱性指数取得进展”。这篇文章描述了CWE是什么,它提供了软件开发人员和收购者的好处,提到的几个来源用于创建列表,列表的描述最终草案正在形成,并指出CWE是由美国国土安全部。 作者还指出,尽管CWE工作完成日期涉及到“收集脆弱的格式和编码的各种方法用于识别和纠正问题,所涉及的项目最近大量的测试的安全扫描工具来得到一个更好的主意,这些产品的功能和限制”,而且“测试……透露,该产品正在寻找600年只有45%的常见的漏洞已经进入CWE指数。” 肖恩·巴纳姆的报价,Cigital知识管理总监,进一步解决了结果:“我们发现,只有不到一半的我们已经在CWE了这些工具,这有助于证明有很多已知的问题没有得到解决。我们还认为工具将寻找相同类型的东西,但他们实际上是非常不同的,不是有很多重叠;这是开发人员需要注意的,因为他们选择工具;你想对聚合的报道。” 作者总结这篇文章通过描述如何继续工作在CWE精炼中使用的语言描述,添加实际的例子的攻击目标的缺陷,和“不强调术语描述常见问题基于攻击方法来利用他们。” CWE文章的主要焦点ZDNet.com CWE的主要焦点是3月1日2007篇文章ZDNet.com题为“词典软件缺陷减少混乱吗?”这篇文章描述了CWE是什么,它提供了软件开发人员和收购者的好处,提到组织等Cigital承诺在他们的产品中加入CWE,描述了一个列表的最终草案正在形成。本文还包括CWE的报价技术主管Steve Christey CWE的创建:“没有一个通用的、高保真的描述这些软件的弱点,努力解决漏洞将零碎的在最好的情况下,只有解决问题的一部分。”The author then paraphrases Christey on the need for CWE because "coverage of early definitions by source code-checking tools is very slim." 本文还描述了创建CWE:“僧帽一直致力于CWE在过去的一年半。工作人员对项目汇总来自多个数据源的数据,包括安全工具制造商和统一。这被证明是一个艰巨的任务。仅300年已经包含一个列表错误类别。” 本文包括一个进展报告的最新草案:“词典第五草案是12月15日出版的。第六个草案预计合并数据关于弱点从16工具和知识来源参与CWE倡议”。 CWE文章的主题黑暗的阅读 CWE的主要焦点是3月1日2007篇文章黑暗的阅读题为“了解敌人更好”。作者指出:“安全应用程序的最佳方法是建立在开发阶段的安全。问题是,很少有标准或模板。””In two separate presentations, experts from Mitre and Cigital -- two companies with long track records in government and industry standards -- outlined plans for the implementation of Common Weakness Enumeration (CWE) and Common Attack Pattern Enumeration and Classification (CAPEC), two specifications that could eventually help developers recognize weaknesses in their applications and anticipate common attack patterns that adversaries might use to break in." 本文描述了CAPEC和CWE,包括CWE是什么,CWE的好处提供了软件开发人员和收购者,以及如何CWE的最终稿形成列表。本文还包含一个引用CWE项目经理罗伯特·a·马丁表示:“这是一个常见的身体的知识软件保证将帮助开发人员将安全构建到他们的应用程序。资助的计划很大程度上由美国国土安全部(DHS),代表了约600项来自20多个供应商的工具,可以帮助识别软件的安全漏洞。” CWE主机布斯在OMG软件保证车间3月5日至7日 CWE联合举办了一次使安全可衡量的参展商展位斜接的CWE,CVE,CCE,芝加哥商品交易所,CPE,椭圆形努力在OMG软件保证车间2007年3月5日至7日,在凯悦公平湖泊在费尔法克斯,美国弗吉尼亚州。对象管理组织(OMG)是一个国际计算机行业会员开放,非营利性财团。OMG的任务部队“开发企业集成标准”为范围广泛的技术和产业及其建模标准”使强大的视觉设计,执行和维护软件和其他进程。” 参观CWE日历页面信息和其他即将来临的事件。 CWE礼物简报&参与小组讨论国防部、国土安全部软件保证论坛3月9日 CWE项目经理罗伯特·马丁提出了关于CWE简报和参加讨论小组关于软件保证和恶意软件3月9日,2007年国防部、国土安全部软件保证论坛在华盛顿特区,美国。 参观CWE日历页面信息和其他即将来临的事件。
出现/普渡大学使宣言CWE兼容性 普渡大学出现/宣布,其安全编程类和公开的教材材料CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。 SofCheck公司使宣言CWE兼容性 SofCheck公司。宣布,其静态分析和故障检测工具,将CWE-Compatible Ada SofCheck督察。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。 CWE文章的主要话题相声杂志 CWE是一篇文章的主题CWE项目经理罗伯特·马丁题为“被明确的安全漏洞”在2007年3月出版的相声,国防部软件工程》杂志上。这篇文章描述了CWE的创建计划和资源用于开发初始概念,相关努力,CWE是如何一个社区的努力和当前成员的列表,如何CWE词典正在开发的草稿,CWE条目的一个例子,CWE兼容性和CWE效率计划,额外的影响和过渡与CWE的机会。 作者描述了社区贡献的重要性倡议如下:“CWE倡议的一个重要元素是透明的对我们所做的一切,我们如何做,我们使用的是开发CWE字典。我们相信这种透明度是很重要的在最初创建CWE字典,这样所有的参与者在CWE社区满意最终的结果,将不会犹豫将CWE纳入他们做什么。”The CWE dictionary is freely available for the public on the CWE Web site and "... all of the publicly available source content is [also] being hosted on the site for anyone to review or use for their own research and analysis." 本文作者总结如下:“这工作已经帮助形状和成熟的代码安全评估行业,它承诺将大幅加快automation-based的使用和效用评估的功能组织和他们获得的软件系统,开发和使用。” CWE举办展台OMG软件保证车间3月5日至7日 CWE计划举办一个使安全可衡量的参展商展位斜接的CWE,CVE,CCE,芝加哥商品交易所,CPE,椭圆形努力在OMG软件保证车间2007年3月5日至7日,在凯悦公平湖泊在费尔法克斯,美国弗吉尼亚州。对象管理组织(OMG)是一个国际计算机行业会员开放,非营利性财团。OMG的任务部队“开发企业集成标准”为范围广泛的技术和产业及其建模标准”使强大的视觉设计,执行和维护软件和其他进程。” 参观CWE日历页面信息和其他即将来临的事件。 CWE呈现简报&参与小组讨论国防部、国土安全部软件保证论坛3月9日 CWE将呈现一个简报CWE和参与小组讨论关于软件保证和恶意软件3月9日,2007年国防部、国土安全部软件保证论坛在华盛顿特区,美国。 参观CWE日历页面信息和其他即将来临的事件。 CWE举办展台信息安全世界20073月19日 CWE计划举办一个使安全可衡量的参展商展位在信息安全世界2007年会议和博览会2007年3月19日,在罗森瓦溪旅游胜地奥兰多,佛罗里达州,美国。会议将揭露斜接的CWE,CVE,CCE,芝加哥商品交易所,CPE,椭圆形努力不同观众的与会者从银行、金融、房地产、保险、和医疗保健行业等。会议是针对信息安全政策和决策者从这些和其他行业,以及董事和经理的信息安全、cio、网络和系统安全管理员,审计师,系统规划者和分析师、系统管理员、软件和应用程序开发人员,工程师,系统集成商,战略规划者和其他信息安全专业人士。 参观CWE日历页面信息和其他即将来临的事件。 CWE礼物简报,2007年黑帽。3月1日 CWE提出简报关于CWE题为“明确的弱点”3月1日,2007年2007年黑帽在华盛顿特区的水晶城市喜来登酒店,华盛顿特区,美国。 参观CWE日历页面信息和其他即将来临的事件。 CWE奖描述中提到“2007 SC杂志奖” CWE的描述中提到的SC杂志“s”编辑的选择专业奖项“国安局信息安全保障理事会的脆弱性分析和操作(农村村民)组的工作在过去的一年里与美国空军和微软公司“检查和提供安全设置建议微软新的Vista操作系统”,促进标准的使用。CWE提到如下:“农村村民小组也塑造的发展安全漏洞命名和标识标准,如公开脆弱性和评估语言(椭圆形),常见的漏洞和风险敞口(CVE)和共同弱点枚举(CWE)标准。”The "2007 SC杂志奖”于2007年2月6日,发表在旧金山希尔顿在旧金山,加州,美国。 CWE展位的照片2007年信息保障车间 CWE联合举办了一次使安全可衡量的参展商展位斜接的CWE,CVE,CCE,芝加哥商品交易所,CPE,椭圆形在第11届的努力2007信息保障(IA)车间2007年2月12 - 15,奥兰多温德姆度假,在奥兰多,佛罗里达州,美国。见下面的照片:
参观CWE日历页面信息和其他即将来临的事件。
CWE讨论列表 信息安全社区的成员被邀请参加CWE加入我们CWE的研究电子邮件讨论列表,轻轻主持公共论坛,讨论CWE定义,建议潜在的定义扩展(s),和/或提交新的定义。一般讨论自己的漏洞也是受欢迎的。查看我们的隐私政策。 CWE主机展台,享年2007岁信息保障车间2月12 - 15 斜方举办了一个使安全可衡量的在第11届参展商展位2007信息保障(IA)车间2007年2月12 - 15,奥兰多温德姆度假,在奥兰多,佛罗里达州,美国。研讨会的目的,这是由美国国防信息系统局(DISA)和国家安全局(NSA),是提供一个论坛的IA社区可以提供更新和工作问题有关IA话题与国防部(DOD) IA的目标策略。介绍了斜接的CWE,CVE,CCE,芝加哥商品交易所,CPE,椭圆形努力的代表国防部和其他联邦政府雇员和他们的赞助的承包商。 参观CWE日历页面信息和其他即将来临的事件。 CWE主机布斯在RSA会议20072月5 - 8 斜方举办了一个使安全可衡量的参展商展位在RSA会议20072007年2月5 - 8日在旧金山Moscone中心,加州,美国。RSA会议提供了一个论坛为信息安全专业人士和有远见的“交流与合作动态、权威。”介绍了斜接的CWE,CVE,CCE,芝加哥商品交易所,CPE,椭圆形安全专家的努力从工业、政府和学术界来自世界各地。 见下面的照片:
参观CWE日历页面信息和其他即将来临的事件。
Veracode公司使宣言CWE兼容性 Veracode公司。宣布其CWE-Compatible SecurityReview评估服务。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。 Watchfire公司使三个声明CWE的兼容性 Watchfire公司宣布其Web应用程序安全评估工具,AppScan,其企业Web应用程序安全评估工具,AppScan企业,和它的Web应用程序安全评估服务,AppScan企业OnDemand,将CWE-Compatible。关于这些和其他兼容产品的附加信息,访问CWE兼容性和有效性部分。 SPI动力学使五声明CWE兼容性 SPI动力学宣布其WebInspect QAInspect、DevInspect和评估管理平台(AMP)评估和修复工具,及其WebInspect直接评估服务,将CWE-Compatible。关于这些和其他兼容产品的附加信息,访问CWE兼容性和有效性部分。 Klocwork公司使宣言CWE兼容性 Klocwork公司。宣布其评估和修复工具,Klocwork企业开发套件,将CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。 Cigital公司使三个声明CWE的兼容性 Cigital公司。宣布其软件安全架构和设计风险评估和管理产品,Cigital架构和设计风险管理,其安全代码评估产品,Cigital安全代码评审自动化工具,及其软件安全培训和课程意识,将CWE-Compatible。关于这些和其他兼容产品的附加信息,访问CWE兼容性和有效性部分。 增强软件使宣言CWE兼容性 增强软件宣布它的源代码分析工具,增强源代码分析(SCA),将CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。 Ounce Labs使宣言CWE兼容性 盎司实验室宣布,其源代码静态分析工具,盎司,将CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。 CWE介绍免费的通讯万博下载包 CWE现在提供免费的电子通讯,你可以直接收到你的电子邮件信万博下载包箱。”CWE-Announce”将提供新的CWE草稿列表的更新,新产品兼容,即将举行的会议上,新网站功能,CWE的新闻,等等。万博下载包 很少的消息将被发送,一周一次或更少。网上注册是可用的免费通迅万博下载包页面。查看我们的隐私政策。
CWE举办展台RSA会议20072月5 - 8 斜接预定举办CWE/CVE/CCE/椭圆形/芝加哥商品交易所参展商展位在RSA会议20072007年2月5 - 8日在旧金山Moscone中心,加州,美国。RSA会议提供了一个论坛为信息安全专业人士和有远见的“交流与合作动态、权威。”The event will introduce CWE, CVE, CCE, CME, and OVAL to security professionals from industry, government, and academia from around the world. Please stop by Booth 1949 and say hello. 参观CWE日历页面信息和其他即将来临的事件。 CWE的电话亭2007年信息保障车间2月12日至16日 斜接预定举办CWE/CVE/CCE/椭圆形/芝加哥商品交易所在第11届参展商展位2007信息保障(IA)车间2007年2月12日至16日,奥兰多温德姆度假,在奥兰多,佛罗里达州,美国。研讨会的目的,这是由美国国防信息系统局(DISA)和国家安全局(NSA),是提供一个论坛的IA社区可以提供更新和工作问题有关IA话题与国防部(DOD) IA的目标策略。事件将引入CWE CVE CCE,芝加哥商品交易所,椭圆形的代表国防部和其他联邦政府雇员和他们的赞助的承包商。 参观CWE日历页面信息和其他即将来临的事件。 CWE信息包含在文章关于Web应用程序的漏洞SC杂志 CWE信息包含在2006年12月27日,文章题为“热不信:Web应用程序漏洞“在SC杂志。这篇文章是关于一个趋势报告类型的常见的漏洞和风险(cf2006年10月)如上所述在CVE漏洞类型分布白皮书上张贴CWE文档页面是由史蒂夫Christey CVE编辑器。这篇文章的作者指出:“毫无疑问,web应用程序已经成为攻击者的目标选择。今年9月,横切Corp .)常见的漏洞和风险列表——公开披露的统计漏洞——排名第一槽跨站点脚本。事实上,跨站点脚本攻击超过缓冲区溢出漏洞。和报告的前五名的四个漏洞是在web应用程序中。” 文章还提到,在2006年11月SANS研究所2006年度更新前20名网络安全攻击目标210年,它使用CVE漏洞描述标识符来唯一地标识,“…web应用程序跨平台应用程序漏洞榜首。” 重要的信息关于CWE网站可用性 由于商业灾难规划活动CWE的网站可能暂时不可用在短时间内从第二天早上5:00东部时间星期六,1月13日,2007年到第二天早上5:00星期二,2007年1月16日。我们为不便道歉。请联系cwe@mitre.org与任何评论或问题。
|
常见的弱点枚举
播客
媒介
万博下载包新闻存档
