常见的弱点枚举

CWE术语表定义

万博下载包新闻和事件- 2010存档
万博下载包新闻和事件- 2010存档

CWE 1.11版本

CWE 1.11版本已经发布在CWE列表页面。一个详细的报告可列出具体版本1.10和1.11版本之间的更改。

主要变化包括:7(1)创建新条目,主要用于竞争条件和“功能包含”问题;(2)一个条目的弃用;(3)26个条目的名称的变化,和40个条目的描述;(4)修改移植20项,主要是为了进一步规范化措施之一在前25名中;(5)更新关系35项,主要是为子树竞争条件的重组;(6)在23个条目更新示范例子;和(7)135项重大变化。

PDF文档已经更新为显示图形视图等研究视图(cwe - 1000)和开发视图(cwe - 699),和一个“可打印CWE”列表中的所有条目CWE。

未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。

常见的弱点评分系统(水煤浆)介绍白皮书

白皮书《介绍了常见的弱点评分系统(水煤浆)现在可以为社区审查和CWE网站下载。水煤浆是共同的国家网络安全部门的美国国土安全部,由斜方CWE团队。

白色的介绍了水煤浆努力和解释它如何可以用于评估和优先考虑可能的软件架构,设计代码,实现弱点,“可能会引入一个应用程序,在某些情况下可以导致一个漏洞在这个软件…例如,一个缓冲区溢出漏洞可能来自一个弱点的程序员不正确验证输入缓冲区的长度。这个弱点只会导致一个漏洞如果输入缓冲区可以受到恶意方,和恶意缓冲区复制到一个较小的缓冲区。”In addition to helping developers score the severity of weaknesses, CWSS also provides a way for software consumers to "know what they should worry about the most, and what to ask for to get a more secure product from their vendors and suppliers."

白皮书中讨论的主题包括水煤浆的六个主要的利益相关者;设计考虑的框架和指标;可能需要支持各种评分方法;介绍水煤浆的“插曲”的概念,这是一个“可共享的,正式的方式来定义一个特定的环境中,软件在该环境中所扮演的角色,及其优先级对软件安全”;水煤浆版本0.1得分榜;考虑水煤浆超出0.1版本;额外的评分因素;为未来版本的活动;和社区可以参与的方法。

大多数的开发和改进的第一个主要版本水煤浆预计将在2011年发生。我们鼓励社区成员审查白皮书和发送反馈cwss@mitre.org。

CAPEC CWE / MAEC简报国土安全部/国防部/ NIST SwA工作组会议12月14 - 16

CWE /CAPEC项目经理罗伯特·马丁将关于CWE的简报,CWE / CAPEC联合创始人兼建筑师对CAPEC肖恩·巴纳姆将简报,和MAEC项目经理一分钱追逐将提交一份关于MAEC简报国土安全部/国防部SwA工作组会议会话2010年12月14 - 16,在麦克莱恩的斜方公司,美国弗吉尼亚州。

参观CWE日历这和其他活动的信息。

CWE /安全可衡量的简报ITU-T安全研讨会

CWE /CAPEC项目经理罗伯特·马丁提出关于CWE /简报使安全可衡量的题为“厂商中立安全测量及管理标准“在ITU-T安全研讨会”应对全球安全挑战”2010年12月6日至7日,瑞士日内瓦。

参观CWE日历这和其他活动的信息。

软件保证小组讨论CIP国会

CWE /CAPEC项目经理罗伯特·马丁参加讨论小组关于软件保证CIP国会11月30日- 12月2日,2010年在华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

新的ISO / IEC报告列出了51编程语言中最常见的漏洞

国际标准化组织(ISO)和国际电工委员会(IEC)发表了联合技术报告(TR) 9月29日,2010年题为“ISO / IEC TR 24772:2010、信息技术,编程语言,指导,避免漏洞通过语言编程语言的选择和使用“描述类的编程语言vulnerabilities-features鼓励或允许的语言编写的代码,其中包含应用程序漏洞。报告描述了51个漏洞在语言本身,以及20个额外的漏洞可以避免通过提供一组丰富的库例程。

根据这份报告,编程语言漏洞尤其应该避免”发展的系统需要保证行为安全、安全、关键任务和关键业务软件。一般来说,本指南适用于软件开发,审查,或维持任何应用程序。”的报告explains that the vulnerabilities occur in programming languages due to issues arising from incomplete or evolving language specifications, human cognitive limitations, lack of predictable execution, lack of portability and interoperability, inadequate language intrinsic support, and language features prone to erroneous use.

所有的漏洞都记录在一个标准化的、独立于语言的格式,允许读者快速理解和利用信息。报告还为社会提供标准化的模板时使用一种新的编程语言的脆弱性和/或导致应用程序漏洞标识。

没有一种语言包含在报告中描述的所有漏洞,但大多数是非常普遍的。编程语言和应用程序的漏洞详细的报告中,17也在2010年CWE / SANS最危险的软件错误列表。报告的未来版本将覆盖前25名的其余部分,任何额外的编程语言和应用程序漏洞发现在后续的工作中,和附件一般指导适用于特定的编程语言。

该报告是用于购买http://www.iso.org和http://www.ansi.org。

CWE并使安全可衡量的专题演讲反思网络安全:一个系统方法的会议

CWE /CAPEC项目经理罗伯特·马丁小组演示的常见的弱点枚举(CWE)主动和使安全可衡量的在反思网络安全:一个系统方法的会议2010年11月16日在弗吉尼亚州的夏洛茨维尔,美国。

参观CWE日历这和其他活动的信息。

CWE / CAPEC MAEC小组讨论11年度安全会议

CWE /CAPEC联合创始人兼建筑师肖恩·巴纳姆参加讨论小组CWE, CAPEC,MAEC题为“当前的攻击模式和在地平线上“在11年度安全会议2010年11月17日,在华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

CWE并使安全可衡量的专题演讲反思网络安全:一个系统方法的会议,11月16日

CWE /CAPEC项目经理罗伯特·马丁将小组演示的常见的弱点枚举(CWE)主动和使安全可衡量的在反思网络安全:一个系统方法的会议2010年11月16日在弗吉尼亚州的夏洛茨维尔,美国。

参观CWE日历这和其他活动的信息。

CWE / CAPEC MAEC小组讨论11年度安全会议11月17日,

CWE /CAPEC联合创始人兼建筑师肖恩·巴纳姆将参加讨论小组CWE, CAPEC,MAEC题为“当前的攻击模式和在地平线上“在11年度安全会议2010年11月17日,在华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

软件保证小组讨论CIP国会11月,12月30日2

CWE /CAPEC项目经理罗伯特·马丁将参与小组讨论关于软件保证CIP国会2010年11月12月30日2日在华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

软件保证和MAEC简报SC世界大会

CWE /CAPEC项目经理罗伯特·马丁提出简报软件保证和恶意软件属性枚举和表征(MAEC)计划SC世界大会2010年11月- 11,在纽约,纽约,美国。

参观CWE日历这和其他活动的信息。

CWE /安全可衡量的和CAPEC简报AppSec直流2010

CWE /CAPEC联合创始人兼架构师肖恩·巴纳姆提出了一个关于CWE /简报使安全可衡量的并对CAPEC在一次新闻发布会上打开Web应用程序安全性项目(OWASP)AppSec直流20102010年11月10日在华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

CWE / CAPEC主旨演讲SecureSDLC会议

CWE /CAPEC项目经理罗伯特·马丁的简报CWE / SANS列表题为“避免最危险的软件安全漏洞——2010年的前25名”SecureSDLC:构建安全软件生命周期2010年11月4日在华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

CWE / SANS主旨演讲软件测试专业会议2010

CWE /CAPEC项目经理罗伯特·马丁的发表了主旨演讲CWE /无排名前25位题为“2010年的前25位最危险的应用程序安全漏洞“在软件测试专业会议& 2010年世博会2010年10月21日,在拉斯维加斯,内华达州,美国。与会者学会了25个最危险的编程软件错误,他们能做的一个测试人员确定和识别这些潜在的漏洞,以及如何帮助创建测试用例来解决这些问题。

参观CWE日历这和其他活动的信息。

MAEC和软件保证简报CSI年会

CWE /CAPEC项目经理罗伯特·马丁提出简报软件保证和恶意软件属性枚举和表征(MAEC)计划CSI年会2010年10月28日,在国家港口,美国马里兰州。

参观CWE日历这和其他活动的信息。

软件保证面板SIGAda会议2010

软件保证主管美国国土安全部(DHS)国家网络安全部门(NCSD),乔哲伯克主持一个讨论小组,包括CWE / CAPEC项目经理罗伯特·马丁和CWE /CAPEC联合创始人兼建筑师肖恩·巴纳姆题为“减轻风险企业通过软件保证“在SIGAda会议20102010年10月28日,在公平的湖泊,维吉尼亚州,美国。NCSD CWE的赞助商,CAPEC MAEC。

参观CWE日历这和其他活动的信息。

CWE / CAPEC简报2010年的联邦网络安全会议和研讨会

CWE /CAPEC联合创始人兼建筑师肖恩·巴纳姆提出关于CWE的简报和CAPEC倡议2010年的联邦网络安全会议和研讨会2010年10月21日在华盛顿特区,美国。此外,椭圆形项目经理乔纳森•贝克的简报开放的脆弱性和评估语言(椭圆形)/安全内容自动化协议(SCAP)计划在10月20日。

参观CWE日历这和其他活动的信息。

CWE / SANS主旨演讲软件测试专业会议2010,10月21日

CWE /CAPEC项目经理罗伯特·马丁将演讲有关CWE /无排名前25位题为“2010年的前25位最危险的应用程序安全漏洞“在软件测试专业会议和2010年世博会2010年10月21日,在拉斯维加斯,内华达州,美国。与会者将了解最危险的编程软件错误,他们能做的一个测试人员确定和识别这些潜在的漏洞,以及如何帮助创建测试用例来解决这些问题。

参观CWE日历这和其他活动的信息。

MAEC和软件保证简报CSI年会,10月28日

CWE /CAPEC项目经理罗伯特·马丁将简报软件保证和恶意软件属性枚举和表征(MAEC)计划CSI年会2010年10月28日,在国家港口,美国马里兰州。

参观CWE日历这和其他活动的信息。

软件保证面板SIGAda会议2010,10月28日

软件保证主管美国国土安全部(DHS)国家网络安全部门(NCSD),乔哲伯克将主持一个讨论小组,包括CWE /CAPEC项目经理罗伯特·马丁和CWE / CAPEC联合创始人兼建筑师肖恩·巴纳姆题为“减轻风险企业通过软件保证“在SIGAda会议20102010年10月28日,在公平的湖泊,维吉尼亚州,美国。NCSD CWE的赞助商,CAPEC MAEC。

参观CWE日历这和其他活动的信息。

CWE / CAPEC MAEC并使安全可衡量的简报国土安全部/国防部/ NIST SwA论坛

CWE / CAPEC项目经理罗伯特·马丁提出关于CWE和简报使安全可衡量的,CAPEC/ CWE创始人肖恩·巴纳姆提出了关于CAPEC简报和架构师MAEC项目经理一分钱追逐MAEC吹风会介绍到国土安全部/国防部/ NIST SwA论坛9月10月27日,2010年美国国家标准与技术研究院美国马里兰州盖瑟斯堡(NIST)。

参观CWE日历这和其他活动的信息。

CWE简报,使安全可衡量的展台IT安全自动化会议2010

CWE项目经理罗伯特·马丁提出关于CWE的简报美国国家标准与技术研究院(NIST)6年度IT安全自动化会议2010年9月27 - 29,在巴尔的摩,马里兰,美国。

此外,横切CWE /托管使安全可衡量的布斯和提出简报和/或参与讨论板使安全可衡量的,CAPEC,MAEC,CVE,CCE,CPE,椭圆形,XCCDF,CVSS,东盟地区论坛,中东欧的努力。

参观CWE日历这和其他活动的信息。

小组讨论,让安全可衡量的展台HSNI 2010

斜方参加了一个SCAP小组讨论CVE,CCE,CPE,椭圆形,XCCDF,OCIL,举办了一场使安全可衡量的表展台,国土安全网络产业(HSNI) 2010会议和博览会2010年9月20日至21日,华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

CWE 1.10版本

CWE版本1.10已经发布在CWE列表页面。一个详细的报告可列出具体版本1.9和1.10版本之间的更改。

主要变化包括:7(1)创建新条目,主要用于同步和“记忆安全”问题;(2)小的变化在9项的名称,和描述的15项,主要是为了反映增强CWE的词汇;(3)修改移植34项,主要是为了进一步规范化措施之一在前25名中;(4)更新43的关系,主要是为子树重组同步和内存安全;(6)重大变化到91条目。

PDF文档已经更新为显示图形视图等研究视图(cwe - 1000)和开发视图(cwe - 699),和一个“可打印CWE”列表中的所有条目CWE。

的CWE /无排名前25位已经更新,以反映CWE的变化内容。

未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。

CWE / CAPEC MAEC并使安全可衡量的简报国土安全部/国防部/ NIST SwA论坛

CWE / CAPEC项目经理罗伯特·马丁提出关于CWE和简报使安全可衡量的,CAPEC/ CWE创始人肖恩·巴纳姆提出了关于CAPEC简报和架构师MAEC项目经理一分钱追逐MAEC吹风会介绍到国土安全部/国防部/ NIST SwA论坛9月10月27日,2010年美国国家标准与技术研究院美国马里兰州盖瑟斯堡(NIST)。

参观CWE日历这和其他活动的信息。

小组讨论,让安全可衡量的展台HSNI 2010

斜方参加了一个SCAP小组讨论CVE,CCE,CPE,椭圆形,XCCDF,OCIL,举办了一场使安全可衡量的表展台,国土安全网络产业(HSNI) 2010会议和博览会2010年9月20日至21日,华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

赛门铁克使宣言CWE兼容性

赛门铁克CWE-Compatible宣称其安全开发生命周期过程。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。

CWE简报,使安全可衡量的展台IT安全自动化会议20109月27 - 29

CWE项目经理罗伯特·马丁将提出一个关于CWE的简报美国国家标准与技术研究院(NIST)6年度IT安全自动化会议2010年9月27 - 29,在巴尔的摩,马里兰,美国。

此外,横切将主办一个CWE /使安全可衡量的布斯和现在的简报板和/或参与讨论制作安全可衡量的,CAPEC,MAEC,CVE,CCE,CPE,椭圆形,XCCDF,CVSS,东盟地区论坛,中东欧的努力。

参观CWE日历这和其他活动的信息。

CWE / CAPEC MAEC并使安全可衡量的简报国土安全部/国防部/ NIST SwA论坛9月10月27日1

CWE / CAPEC项目经理罗伯特·马丁将目前关于CWE和简报使安全可衡量的,CAPEC/ CWE联合创始人兼建筑师肖恩·巴纳姆定于CAPEC吹风会,和MAEC项目经理一分钱追逐将提交一份关于MAEC简报国土安全部/国防部/ NIST SwA论坛9月10月27日,2010年美国国家标准与技术研究院美国马里兰州盖瑟斯堡(NIST)。

参观CWE日历这和其他活动的信息。

小组讨论,让安全可衡量的展台HSNI 20109月20日至21日

主教法冠将参与SCAP小组讨论CVE,CCE,CPE,椭圆形,XCCDF,OCIL,和主机使安全可衡量的表展台,国土安全网络产业(HSNI) 2010会议和博览会2010年9月20日至21日,华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

CWE / CAPEC MAEC并使安全可衡量的简报GFIRST全国性会议

CWE,CAPEC,MAEC,使安全可衡量的是一个简报的关键部分题为“改善事件管理软件保证:减轻风险“在6年度GFIRST国家会议在圣安东尼奥,德克萨斯州,美国8月17日,2010年由国土安全部NCSD软件保证主管乔•哲伯克副us - cert的业务经理托马斯•米勒CWE / CAPEC项目经理罗伯特·马丁和CAPEC / CWE联合创始人兼建筑师肖恩·巴纳姆。会议本身跑8月15到20。

参观CWE日历这和其他活动的信息。

CWE / CAPEC MAEC并使安全可衡量的简报GFIRST全国性会议

CWE,CAPEC,MAEC,使安全可衡量的是简报的关键部分题为“改善软件保证:减轻风险事件管理”计划将在6年度GFIRST国家会议在圣安东尼奥,德克萨斯州,美国8月17日,2010年由国土安全部NCSD软件保证主管乔•哲伯克副us - cert的业务经理托马斯•米勒CWE / CAPEC项目经理罗伯特·马丁和CAPEC / CWE联合创始人兼建筑师肖恩·巴纳姆。会议本身运行8月15到20。

参观CWE日历这和其他活动的信息。

CWE /安全可衡量的展台黑帽简报2010

CWE参加了一个使安全可衡量的布斯在黑帽简报20102010年7月28 - 29日,在拉斯维加斯的凯撒宫拉斯维加斯,内华达州,美国。与会者学习信息安全数据标准促进有效的安全过程的协调和使用自动化评估、管理和改善企业安全信息基础设施的安全状况。

参观CWE日历这和其他活动的信息。

CWE / SANS列表名称调整

排名前25位的名称已经更改列表”2010年CWE / SANS最危险的软件错误。”“编程”改为“软件”为了更准确地描述的内容列表。

CWE 1.9版本

CWE版本1.9已经发布在CWE列表页面。一个详细的报告可列出具体的版本之间的更改1.8.1和1.9版本。

主要变化包括:(1)创建一个新视图(11个条目cwe - 809OWASP)的2010年十大;(2)小22个条目的名称的变化,和描述的55项,主要是为了反映增强CWE的词汇;(3)修改移植了89项,主要是为了使措辞更一致的;(4)增加或改善示范例子23项;(5)添加引用每个2010排名前25位的条目;(6)重大变化到155条目。

模式定义10/24/11 4.4.1从版本更新,以反映一些改变Consequence_Technical_Impact元素。

PDF文档已经更新为显示图形视图等研究视图(cwe - 1000)和开发视图(cwe - 699),和一个“可打印CWE”列表中的所有条目CWE。

的CWE /无排名前25位已经更新,以反映CWE的变化内容。

未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。

CWE / CAPEC MAEC简报国土安全部/国防部SwA工作组会议会话6月研讨会

CWE团队成员康纳哈里斯CWE吹风会,CWE /CAPEC联合创始人肖恩·巴纳姆提出了关于CAPEC简报和架构师MAEC项目经理一分钱追逐MAEC吹风会,CWE技术主管Steve Christey的简报常见的弱点评分系统(水煤浆)和口袋指南和CWE / CAPEC项目经理罗伯特·马丁提出简报软件保证自动化协议(SwAAP)国土安全部/国防部SwA工作组会议会话2010年6月研讨会,在Balston,维吉尼亚州,美国。

参观CWE日历这和其他活动的信息。

CWE / CAPEC MAEC简报安全自动化开发人员2010天

CWE /CAPEC联合创始人兼建筑师肖恩·巴纳姆CWE和CAPEC简报MAEC项目经理一分钱追逐MAEC横切的吹风会安全自动化开发人员2010天2010年6月16日,在贝德福德的横切,麻萨诸塞州,美国。

为期三天的会议的主要目的,于6月14 - 16,是信息安全社区,讨论当前和新兴安全内容自动化协议(SCAP)标准在技术细节和获得所有有关各方受益的解决方案。

参观CWE日历这和其他活动的信息。

使安全可衡量的简报第七二年生跨国业务会议

CWE /CAPEC联合创始人兼建筑师肖恩·巴纳姆提出了一个简报使安全可衡量的在第七二年生跨国业务会议在弗吉尼亚州麦克莱恩僧帽举行美国6月2 - 3,2010。

参观CWE日历这和其他活动的信息。

斜接主机安全可衡量的展台信息安全世界2010

斜方举办了一个使安全可衡量的布斯在MIS培训协会(米)信息安全世界大会和2010年世博会迪斯尼Coronado温泉度假村,在奥兰多,佛罗里达州,美国,2010年4月19日,。与会者学习信息安全数据标准促进有效的安全过程的协调和使用自动化评估、管理和改善企业安全信息基础设施的安全状况。

参观CWE日历这和其他活动的信息。

CWE / CAPEC小组讨论源波士顿会议

CWE/CAPEC项目经理罗伯特·马丁和CWE / CAPEC技术主管Steve Christey CWE / CAPEC参与小组讨论,和Christey简报常见的漏洞和风险敞口(CVE),在源波士顿会议2010年4月研讨会,在波士顿,美国马萨诸塞州。

参观CWE日历这和其他活动的信息。

CWE 1.8.1现在可用的版本

CWE 1.8.1版本已经发布在CWE列表页面。这是一个小版本,不包含任何新的CWE条目或关键的变化。一个详细的报告可列出具体1.8.1 1.8版本和版本之间的更改。

新版本的变化包括:(1)更新CAPEC 50个条目映射;(2)小28条目的名称的变化,反映出增强CWE的词汇;(3)改进描述了30项;(4)增加或改善示范例子24项;(5)增加或改善应对潜在的17项;(6)重大变化到105条目。

没有新的或弃用CWE条目,并且没有修改模式。PDF文档已经更新,以显示图表视图,如研究视图(cwe - 1000)和开发视图(cwe - 699),和一个“可打印CWE”列表中的所有条目CWE。

此外,2010 CWE /无排名前25位已经更新,以反映CWE的变化内容。

未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。

斜方举办“安全的”展位信息安全世界20104月19日

斜接预定举办使安全可衡量的布斯在MIS培训协会(米)信息安全世界大会和2010年世博会迪斯尼Coronado温泉度假村,在奥兰多,佛罗里达州,美国,2010年4月19日,。请停止319年布斯说,你好!

参观CWE日历这和其他活动的信息。

CWE / CAPEC小组讨论和CVE简报源波士顿会议4月研讨会

CWE /CAPEC项目经理罗伯特·马丁和CWE技术主管Steve Christey将参与小组讨论脆弱性管理、和Christey定于大约过去十年的一份简报中常见的漏洞和风险(CVE),在源波士顿会议2010年4月研讨会,在波士顿,美国马萨诸塞州。

参观CWE日历这和其他活动的信息。

CWE / CAPEC简报GovSec / FOSE

CWE /CAPEC项目经理罗伯特·马丁提出了关于CWE简报和常见的攻击模式枚举和分类(CAPEC)GovSec / FOSE2010年3月23 - 24日,在华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

照片安全可衡量的展台RSA 2010

斜方举办了一个使安全可衡量的布斯在RSA 2010在旧金山Moscone中心,加利福尼亚,美国,2010年3月1 - 5日。见下面的照片:

参观CWE日历这和其他活动的信息。

2010 CWE / SANS编程错误清单收到广泛的新闻报道万博下载包

CWE和SANS研究所2010年完成的CWE / SANS编程错误CWE和无网站2月16日2010年。SANS研究所之间的合作、斜方和40多个顶级软件安全专家在美国和欧洲,前25名的列表提供了详细描述为减轻和避免编程错误以及权威的指导。

释放了大量新闻媒体报道:万博下载包

CWE和排名前25位的主要议题联邦新闻电台万博下载包面试

联邦新闻电台采访万博下载包CWE / CAPEC项目经理罗伯特·马丁3月10日,2010年CWE和最危险的编程错误。在采访中,题为“前联邦软件安全漏洞暴露,”马丁表示:“最大的问题是,传统教育在我国和世界各地为软件开发人员、测试人员、项目经理几乎忽略了这个地区。我们把它们放进我们的软件,因为我们不知道他们是怎么发生的。CWE,完整的共同弱点枚举然后这个优先CWE的一部分,我们把最危险的编程错误基本上是第一级的教育工具。这些都是你应该知道的问题。你应该问你的开发人员“你被训练识别这些如果有人把他们不小心吗?你知道如何计划围绕这些,这样你不介绍他们吗?”You test people. "Do you know how to try to misuse and abuse your system?" So that, if there any of these latently in your software, you can find them before the user has it in his hands." A总结面试在联邦新闻电台网站上发表。万博下载包

CWE中提到联邦新闻电台万博下载包采访关于软件保证

联邦新闻电台采访万博下载包了乔·哲伯克主任软件保证国家美国国土安全部的网络安全部门,2010年3月3日关于软件保证。在采访中,题为“软件保障影响的不仅仅是程序员,“哲伯克”解释了为什么CWE利益网络安全,为什么这个影响程序员以上。”一个总结面试在联邦新闻电台网站上发表。万博下载包

Coverity公司提出了两个CWE兼容性声明

Coverity公司。宣布,其静态分析评估和修复工具,Coverity预防和Coverity完整性中心,现在CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。

斜接主机安全可衡量的展台RSA 2010

斜方举办了一个使安全可衡量的布斯在RSA 2010在旧金山Moscone中心,加利福尼亚,美国,2010年3月1 - 5日。与会者学习信息安全数据标准促进有效的安全过程的协调和使用自动化评估、管理和改善企业安全信息基础设施的安全状况。

参观CWE日历这和其他活动的信息。

斜接礼物安全可衡量的简报国土安全部/国防部/ NIST SwA论坛

CWE /CAPEC项目经理罗伯特·马丁提出了一个简报使安全可衡量的到国土安全部/国防部/ NIST SwA论坛2010年3月9 - 12日在麦克莱恩的斜方公司,美国弗吉尼亚州。

参观CWE日历这和其他活动的信息。

2010年排名前25位最危险的编程错误可用现在列表

2010年的版本无/斜方前25位最危险的编程错误能导致严重的软件漏洞现在CWE上可用,无网站。主要是基于CWE列表和利用无排名前20位的攻击向量,排名前25位的列表的主要目的是阻止漏洞在源通过教育程序员如何消除稀松平常的错误甚至软件发货之前。教育和意识的列表是一个工具,帮助程序员防止鼠疫软件行业的各种漏洞。软件消费者也可以使用列表来帮助他们寻求更安全的软件,和软件经理和首席信息官可以使用前25位的标尺进步他们的努力获得他们的软件。

2010版的更新包括实质性改进2009名单。名单已经被修改的结构区分移植和通用安全编程原则和更具体的弱点。今年的前25项优先使用输入从20个不同的组织,他们基于患病率和评估每一个弱点的重要性。2010版介绍了集中配置文件,允许开发人员和其他用户选择最相关的部分排名前25位的担忧。2010版还增加了少量最有效的“怪兽”措施之一,帮助开发者减少或消除整个团体排名前25位的弱点,以及许多其他的800的弱点中记录的共同弱点枚举(CWE)。最后,许多高层的弱点从2009版本已经取代低级变异更可行的。

未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。

CWE 1.8版本

CWE 1.8版本已经张贴在CWE列表页面,主要支持的版本吗2010 CWE / SANS最危险的编程错误列表。一个详细的报告可列出具体版本1.7和1.8版本之间的更改。

对新版本的变化包括:11(1)创建新条目,主要是支持的2010 CWE /无排名前25位;(2)重大质量改善大约20项,2010年排名前25位的一部分,或“处于”;“(3) additions or improvements to demonstrative examples for 33 entries; (4) additions or improvements to potential mitigations for 43 entries; (5) additions or improvements in references for 54 entries; (6) detection methods for 33 entries; (7) mappings to the WASC threat classification; (8) updated relationships for 77 entries; and (9) major changes to 162 entries.

模式定义从4.3版本更新到4.4版本,以反映一些额外的元素来支持气候变化和检测方法。总结是可用的在这里。

PDF文档已经更新为显示图形视图等研究视图(cwe - 1000)和开发视图(cwe - 699),和一个“可打印CWE”列表中的所有条目CWE。

未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。

斜接主机安全可衡量的展台RSA 20103月1 - 5

斜接预定举办使安全可衡量的布斯在RSA 2010在旧金山Moscone中心,加利福尼亚,美国,2010年3月1 - 5日。请停止2617年布斯说,你好!

参观CWE日历这和其他活动的信息。

斜方提供安全可衡量的简报国土安全部/国防部/ NIST SwA论坛3月9 - 12

MAEC团队成员和CWE /CAPEC项目经理罗伯特·马丁将呈现一个简报使安全可衡量的到国土安全部/国防部/ NIST SwA论坛2010年3月9 - 12日在麦克莱恩的斜方公司,美国弗吉尼亚州。

参观CWE日历这和其他活动的信息。

斜接主机安全可衡量的展位在2010年信息保障研讨会

斜方举办了一个使安全可衡量的展位的2010年信息保障研讨会美国田纳西州纳什维尔,2010年2月2 - 5日。此外,CWE / CAPEC联合创始人兼架构师在SwA肖恩·巴纳姆参加小组讨论。研讨会旨在汇集行业,政府和军事信息保障专业人士“最新信息保障(IA)产品和解决方案可以安全的语音和数据网络。”

参观CWE日历这和其他活动的信息。

斜方宣布最初的“安全”可测量的2010年日历的事件

斜方宣布首次使安全可衡量的2010年的日历事件。细节对于横切的安排参加指出在这些事件CWE日历页面。每个清单包括事件名称和URL,日期,地点,和我们的活动的描述事件。

其他事件可能被添加在。参观CWE日历信息或联系cwe@mitre.org斜方提交一份简报或对CWE参与小组讨论,CAPEC,CVE,CCE,CPE,中东欧,MAEC,椭圆形和/或使安全可衡量的在你的事件。

安全自动化是国防部的主要焦点IA万博下载包newsletter

“安全自动化:一个新的方法来管理和保护关键信息”的主题是2010年冬季国防部(DoD)的信息保障技术分析中心(IATAC)IA万博下载包newsletter。

根据通讯,安全自动化策略将使自动化万博下载包”许多安全性和配置管理、合规和网络防御功能和给我们(国防部)系统管理员和网络防御成功的机会。”Specific articles topics include: An Introduction to Security Automation; Security Automation: A New Approach Managing and Protecting Critical Information; Security Content Automation Protocol; Secure Configuration Management (SCM); DoD Activities Underway to Mature SCAP Standards; Why Industry Needs Federal Government Leadership to Gain the Benefits of Security Automation; and Practicing Standards-Based Security Assessment and Management.

此外,斜接的CVE,CCE,CPE,椭圆形信息保障数据标准中提到这个问题,特别是关于他们是如何使用的国家标准与技术研究院(NIST)的安全内容自动化协议(SCAP)帮助实现自动化,基于标准的安全评估和管理。

通讯是免万博下载包费下载的IATAC网站。