常见的弱点枚举

CWE术语表定义

万博下载包新闻和事件- 2011存档
万博下载包新闻和事件- 2011存档

CWE / CAPEC MAEC简报国土安全部/国防部/ NIST SwA工作组会议

CWE/ CAPEC项目经理罗伯特·马丁提出关于CWE的简报,CAPEC/ CWE创始人肖恩·巴纳姆提出了关于CAPEC简报和架构师和MAEC项目经理一分钱追逐了简报MAEC,国土安全部/国防部SwA工作组会议会话2011年11月28日——12月2日,在麦克莱恩的斜方公司,美国弗吉尼亚州。

参观CWE日历这和其他活动的信息。

CWE / CAPEC MAEC简报国土安全部/国防部/ NIST SwA工作组会议,11月28日- 12月2日

CWE/ CAPEC项目经理罗伯特·马丁将关于CWE的简报,CAPEC/ CWE联合创始人兼建筑师对CAPEC肖恩·巴纳姆将简报,和MAEC项目经理一大通将MAEC吹风会,向国土安全部/国防部SwA工作组会议会话2011年11月28日——12月2日,在麦克莱恩的斜方公司,美国弗吉尼亚州。

参观CWE日历这和其他活动的信息。

CAPEC / CybOX MAEC简报开放组织安全研讨会

CWE / CAPEC联合创始人兼建筑师肖恩·巴纳姆提出简报常见的攻击模式枚举和分类(CAPEC)和网络可观测的表达式(CybOX)和MAEC师伊凡Kirillov提出了一个简报恶意软件属性枚举和表征(MAEC)在开放组织安全研讨会2011年11月16日在华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

CWE / SANS在麻省理工学院的简报

CWE项目经理罗伯特·马丁的简报CWE / SANS最危险的软件错误列表麻省理工学院的部分”设计软件系统-应用网络/物理安全议长”系列的麻省理工学院(MIT)2011年11月15日,在剑桥,麻萨诸塞州,美国。

参观CWE日历这和其他活动的信息。

在U CWE / CAPEC SwA简报。海岸警卫队业务系统中心

CWE / CAPEC联合创始人兼建筑师肖恩·巴纳姆提出了一个简报CWE/CAPEC/SwA在美国海岸警卫队的操作系统中心2011年11月15日,在Kearneysville,西维吉尼亚州,美国。

参观CWE日历这和其他活动的信息。

CAPEC简报和开放式体系结构小组讨论2011年国防每日开放架构峰会

CWE / CAPEC联合创始人兼建筑师肖恩·巴纳姆提出了一个简报常见的攻击模式枚举和分类(CAPEC)和参加小组讨论题为“国土安全部企业和开放的架构”2011年国防每日开放架构峰会2011年11月9日,在华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

CWE用于美国能源部的能源输送控制系统的脆弱性分析报告

CWE的在2011年9月的一份报告中美国能源部题为能源输送控制系统的脆弱性分析“描述了常见的漏洞在能源部门的控制系统中,并提供建议供应商和业主的系统识别并减少这些风险。”的报告findings were "mapped to software weakness types defined by the Common Weakness Enumeration (CWE) to the extent possible … so that Supervisory Control and Data Acquisition (SCADA)" vendors and owners can refer to the CWE for additional guidance in identifying, mitigating, and preventing weaknesses that cause vulnerabilities." Common Vulnerability Scoring System (CVSS)也用于优先漏洞根据他们对SCADA系统的相对风险。

该报告是可供免费下载2011. http://energy.gov/sites/prod/files/Vulnerability能源输送控制系统分析pdf。

CWE文章中提到的关于云安全SDTimes.com

的CWE/无排名前25位文章中提到的是一个2011年10月14日,题为“你怎么能保持领先一步的安全云?”SDTimes.com。前25名被格温费舍尔报价中提到,Klocwork的首席技术官,Inc .,对于“事实,许多程序员仍犯同样的轻松避免错误。”

费舍尔表示:“这是同一组形成的核心CWE前25名,同一组,任何两分钟的谷歌搜索会给你比你能想象的更多信息。所以有这个特别的光重复隧道?我更喜欢删除比管理利用的弱点,我坚定的立场获得的投资杠杆weakness-removal所以远远大于任何时间/努力/金钱投入使用,使后者可笑。作为一种对比,然而,被广泛研究发表在由我们的一个竞争对手几年前,平均开发人员更关注的一份报告指出,利用比他们做的一份报告的一个弱点,但是可以在他们的代码”。

Klockwork公司的一员CWE社区和参与者CWE兼容性和有效性的程序。本文还包括引用其他CWE社区和CWE兼容性计划的参与者。

CAPEC简报和小组讨论2011年国防每日开放架构峰会11月9日

CWE / CAPEC联合创始人兼建筑师肖恩·巴纳姆将简报常见的攻击模式枚举和分类(CAPEC)企业和参与讨论面板上题为“国土安全部和开放的架构”2011年国防每日开放架构峰会2011年11月9日,在华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

CAPEC和CybOX简报开放组织安全研讨会,11月16日

CWE / CAPEC联合创始人兼建筑师肖恩·巴纳姆将简报常见的攻击模式枚举和分类(CAPEC)和网络可观测的表达式(CybOX)在开放组织安全研讨会2011年11月16日在华盛顿特区,美国。

参观CWE日历这和其他活动的信息。

CWE / MAEC / SwA讲习班和CWE /安全可衡量的展台IT安全自动化会议2011

CWE,CWRAF,CCR,网络可观测的表达式(CybOX),MAEC,使安全可衡量的被讨论的话题吗美国国家标准与技术研究院(NIST)7日年度IT安全自动化会议2011年10月31日- 11月2日,在阿灵顿,弗吉尼亚州,美国。CWE团队也促成了CWE, CWRAF, CCR, CybOX, SwA-related工作坊,横切CWE /托管使安全可衡量的展台。

参观CWE日历这和其他活动的信息。

CWE / CAPEC SwA简报工业控制系统联合工作组2011年秋季会议

CWE / CAPEC项目经理罗伯特·马丁和软件保证副主任美国国土安全部(DHS)国家网络安全部门(NCSD)理查德•j•Struse提出简报CWE,CAPEC,软件保证(SwA)在工业控制系统联合工作组2011年秋季会议2011年10月24 - 27日,在长滩,加州,美国。

参观CWE日历这和其他活动的信息。

CWE / CAPEC SwA简报工业控制系统联合工作组2011年秋季会议10月24 - 27日

CWE / CAPEC项目经理罗伯特·马丁和软件保证副主任美国国土安全部(DHS)国家网络安全部门(NCSD)理查德•j•Struse将简报CWE,CAPEC,软件保证(SwA)在2011年工业控制系统联合工作组秋季会议10月24 - 27日,2011年在美国加州长滩。

参观CWE日历这和其他活动的信息。

CWE / MAEC SwA研讨会IT安全自动化会议2011,10月31日- 11月2日

CWE,CWRAF,CCR、网络可观测的表达式(CybOX),MAEC,使安全可衡量的将讨论的话题吗美国国家标准与技术研究院(NIST)7日年度IT安全自动化会议2011年10月31日- 11月2日,在阿灵顿,弗吉尼亚州,美国。CWE团队也将有助于CWE, CWRAF, CCR, CybOX, SwA-related工作坊,横切将主办一个CWE /使安全可衡量的展台。

这次会议的主要目的是讨论安全内容自动化协议(SCAP)和“策略实现连续监测、使用安全自动化工具和技术来缓解策略遵从性的技术负担,跨企业和创新利用自动化在政府和行业应用程序”。SCAP使用CVE,CCE,CPE,椭圆形,XCCDF,CVSS社区标准,使“自动漏洞管理、测量和政策合规评估。”

参观CWE日历这和其他活动的信息。

CWE / CAPEC /软件保证简报2011年国会(ISC)²安全

CWE/CAPEC项目经理罗伯特·马丁提出简报题为“如何衡量软件安全”;米歇尔·莫斯,CISSP, CSSLP,首席研究员博思艾伦公司提出了一个简报,题为“为什么开发人员做出危险的软件错误?”;和保罗•阮CISSP,中钢协CGEIT和网络解决方案的副总裁知识咨询集团提出了一个简报,题为“提高你的SDLC CAPEC和CWE”2011年国会(ISC)²安全2011年9月19日,在橘郡会议中心在奥兰多,佛罗里达州,美国。

此外,软件保证主管美国国土安全部(DHS)国家网络安全部门(NCSD)乔哲伯克参加了软件保证总结讨论小组。

参观CWE日历这和其他活动的信息。

CWE / CAPEC MAEC简报,使安全可衡量的简报软件保证使可靠性、弹性、健壮性和安全研讨会

CWE / CAPEC项目经理罗伯特·马丁提出了CWE/CAPEC/MAEC发布会上,使安全可衡量的在发布会上软件保证使可靠性、弹性、健壮性和安全研讨会2011年9月26日在林西克姆高地,美国马里兰州。

此外,软件保证主管美国国土安全部(DHS)国家网络安全部门(NCSD)乔哲伯克提出软件保证简报。

参观CWE日历这和其他活动的信息。

CWE庆祝5年!

CWE始于五年前的这个月,略低于500年首次单独列出的弱点类型公共CWE 37信息安全网站和社区组织参与CWE社区。此后,CWE真正成为行业标准。的CWE列表已发展到807个人类型和弱点CWE社区已发展到49组织506个成员一起参与开发CWE的CWE研究员电子邮件讨论列表。此外,来自世界各地的超过31日组织的声明CWE兼容性53的产品和服务。

2009年,CWE和SANS研究所发表了他们的第一次“前25名“社区共识的最广泛和重要cw列表可以让攻击者完全控制软件,窃取数据,或防止软件工作。第二个版本是2010年发布,最新版本的CWE / SANS最危险的软件错误列表2011年6月被释放。2011年排名前25位的还包括一套应对“怪物”来帮助开发人员更容易地减少或消除整个团体排名前25位的弱点,以及数以百计的其他弱点CWE所记录的。排名前25位的列表自成立以来一直非常受欢迎,每年释放继续生成重要的新闻媒体报道万博下载包在全球范围内。

CWE在使用

信息安全社区支持的重要性”CWE-Compatible产品和服务“从兼容性计划于2006年12月下旬。尽快2007年1月有7组织参与声明15产品的兼容性。今天,有53组织和31日产品和服务在CWE上市网站和使用CWE积极加强这些地区的企业安全:评估和修复工具,评估服务,数据库/知识库,,教育产品,软件开发实践。和产品和服务的列表继续增长,新的更新定期公布CWE新万博下载包闻和事件页面。

在2011年,达到了一个重要里程碑与启动程序的兼容性CWE报道声称表示(CCR)对软件分析供应商转达给客户哪些CWE-identified弱点他们声称能够定位在软件通过标准化CCR在XML编写的文档。

主教法冠也在2011年推出了两个额外的努力,帮助社区进一步利用CWE的企业:常见的弱点评分系统(水煤浆)社区工作评分软件编码错误发现在一个一致的软件应用程序中,灵活,和开放的方式,适应环境的各种利益相关者和业务领域在政府、学术界、工业;和常见的弱点风险分析框架(CWRAF),为组织应用水煤浆使用专门的场景,或“小插曲”,确定部署的应用程序的业务价值的背景下为了优先考虑那些最相关的软件CWE的弱点,自己的企业,任务和部署技术。我们现在积极建议组织在使用前25,水煤浆,CWRAF在他们的企业。

我们的周年庆典

这是你的参与和支持软件弱点CWE变成社区标准类型。我们都感谢你以任何方式使用CWE,前25名,水煤浆,或CWRAF在你的产品,研究,或过程;提升CWE的使用,前25名中,水煤浆,或CWRAF;和/或通过产品或服务,为您的企业合并CWE。我们还要感谢我们的赞助商在这五年来,国家网络安全部门(NCSD)美国国土安全部(DHS),因为他们过去和当前的资助和支持。

我们欢迎任何评论或关于CWE的反馈cwe@mitre.org。

CWE 2.1版本

CWE 2.1版本已经发布在CWE列表页面。一个详细的报告可列出具体版本2.0和2.1版本之间的更改。

总共有133项重大变化。最重要的变化包括:(1)建立16个新条目CERT c++安全的编码标准;(2)改变97支持的各种分类法映射CERT编码标准为C,c++,Java;和(3)修改为潜在的缓解措施和引用超过30项,支持更新的袖珍指南为减轻最危险的软件错误在未来,它将被释放。

的模式更新支持参考管理在未来CWE版本(Local_Reference_ID属性)。Impact_Type可能性属性也定义来确定给定的技术可能性有多大影响发生当一个特定的弱点。

PDF文档已经更新为显示图形视图等研究视图(cwe - 1000)和开发视图(cwe - 699),和一个“可打印CWE”列表中的所有条目CWE。

未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。

CWE安全编码文章的主题COTS杂志

CWE的主要话题是一篇文章题为“CWE倡议有助于安全代码开发工作”在2011年7月出版的COTS日报:《军事电子与计算。这篇文章解释了CWE是什么,它是如何工作的,它的关系常见的漏洞和风险敞口(CVE)、安全编码的好处。

作者声明:“CWE等标准的实现变得更加普遍,一个工具供应商的经验和声誉在安全,安全至上的专业知识将是无价的。使用合格的和完整工具确保开发人员可以自动化过程更加轻松高效地。创建一个安全的开发社区使用标准,技术和一个完整的开发环境促进改善的一个持续的过程。,关注安全开发生命周期原则和实践将导致进行生产的软件系统更可靠,值得信赖的和可扩展的。”

CWE、水煤浆和CWRAF是主要的话题虚拟化实践面试

CWE的主要焦点虚拟化安全播客题为“主教法冠,两个新的工具来帮助PaaS和风险评估”虚拟化练习网站2011年8月15日。播客是采访CWE / CAPEC项目经理罗伯特·马丁CWE,水煤浆,CWRAF可以“使用PaaS环境中那些程序,利用SaaS,或其他云服务”。

CWE / CAPEC /软件保证简报2011年国会(ISC)²安全9月19日

CWE/CAPEC项目经理罗伯特·马丁将简报题为“如何衡量软件安全”;米歇尔·莫斯,CISSP, CSSLP,首席研究员博思艾伦公司将提供一个简报,题为“为什么开发人员做出危险的软件错误?”;和保罗•阮CISSP,中钢协CGEIT和网络解决方案的副总裁知识咨询集团将提供一个简报题为“提高你的SDLC CAPEC和CWE”2011年国会(ISC)²安全2011年9月19日,在橘郡会议中心在奥兰多,佛罗里达州,美国。

此外,软件保证主管美国国土安全部(DHS)国家网络安全部门(NCSD)乔哲伯克将参加一个软件保证总结性的讨论小组。

参观CWE日历这和其他活动的信息。

CWE / CAPEC MAEC简报,使安全可衡量的简报软件保证使可靠性、弹性、健壮性和安全研讨会,9月26日

CWE / CAPEC项目经理罗伯特·马丁将提供一个CWE/CAPEC/MAEC发布会上,使安全可衡量的在发布会上软件保证使可靠性、弹性、健壮性和安全研讨会2011年9月26日在林西克姆高地,美国马里兰州。

此外,软件保证主管美国国土安全部(DHS)国家网络安全部门(NCSD)乔哲伯克将软件保证简报。

Astyran Pte Ltd .使三个声明CWE的兼容性

Astyran Pte Ltd .)宣布其Web应用程序漏洞评估,安全的设计审查和安全CWE-Compatible代码审查服务。

额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。

CWE / CAPEC MAEC简报,使安全可衡量的简报GFIRST 2011

CWE / CAPEC项目经理罗伯特·马丁,CWE / CAPEC创始人肖恩·巴纳姆和架构师和MAEC项目经理一分钱追逐了CWE/CAPEC/MAEC发布会上,使安全可衡量的在GFIRST全国性会议20112011年8月8 - 12,在奥普瑞兰大饭店酒店和会议中心在纳什维尔,田纳西州,美国。

参观CWE日历这和其他活动的信息。

CWE / CAPEC MAEC简报,使安全可衡量的简报GFIRST 20118月8 - 12

CWE / CAPEC项目经理罗伯特·马丁,CWE / CAPEC创始人肖恩·巴纳姆和架构师和彭妮追逐MAEC项目经理将CWE/CAPEC/MAEC发布会上,使安全可衡量的在GFIRST全国性会议20112011年8月8 - 12,在奥普瑞兰大饭店酒店和会议中心在纳什维尔,田纳西州,美国。

参观CWE日历这和其他活动的信息。

CWE /安全可衡量的展台黑帽简报2011

主教法冠CWE /托管使安全可衡量的布斯在黑帽简报20112011年8月3 - 4日,在拉斯维加斯的凯撒宫拉斯维加斯,内华达州,美国。与会者了解了CWE,CAPEC,MAEC,CVE,CCE,CPE,中东欧,椭圆形信息安全数据标准等,促进有效的安全过程的协调和使用自动化评估、管理和改善企业安全信息基础设施的安全状况。

参观CWE日历这和其他活动的信息。

2011年CWE / SANS最危险的软件错误列表收到广泛的新闻报道万博下载包

CWE和SANS研究所发布完成2011年CWE / SANS最危险的软件错误在CWE和无网站6月27日,2011年。SANS研究所之间的合作、斜方和在美国和欧洲顶级软件安全专家,前25名的列表提供了详细描述为减轻和避免编程错误以及权威的指导。

释放了大量新闻媒体报道:万博下载包

欧洲委员会使宣言CWE兼容性

欧洲委员会宣布,其教育祭,欧洲委员会认证安全的程序员,将CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。

CWE /安全可衡量的展台黑帽简报2011

主教法冠将主办一个CWE /使安全可衡量的布斯在黑帽简报20112011年8月3 - 4日,在拉斯维加斯的凯撒宫拉斯维加斯,内华达州,美国。请访问我们的展位307,说你好!

参观CWE日历这和其他活动的信息。

CWE / CAPEC MAEC简报国土安全部/国防部/ NIST SwA工作组会议

CWE /CAPEC项目经理罗伯特·马丁和CWE / CAPEC联合创始人兼建筑师肖恩·巴纳姆的简报前25名,CWE,水煤浆,CWRAF,CAPEC,MAEC、CybOX保险箱,中东欧到国土安全部/国防部SwA工作组会议会话2011年6月28 - 30日在麦克莱恩的斜方公司,美国弗吉尼亚州。

斜方还举办了一场新闻发布会上事件的发布2011 CWE / SANS软件错误列表,导致广泛的新闻报道。万博下载包

参观CWE日历这和其他活动的信息。

2011年排名前25位最危险的软件错误列表现在可用

2011年的版本无/斜方最危险的软件错误能导致严重的软件漏洞现在CWE上可用,无网站。主要是基于CWE列表和利用无排名前20位的攻击向量,排名前25位的列表的主要目的是阻止漏洞在源通过教育程序员如何消除稀松平常的错误甚至软件发货之前。教育和意识的列表是一个工具,帮助程序员防止鼠疫软件行业的各种漏洞。软件消费者也可以使用列表来帮助他们寻求更安全的软件,和软件经理和首席信息官可以使用前25位的标尺进步他们的努力获得他们的软件。

2011年排名前25位的改进2010名单,但精神和目标保持不变。今年的前25项优先使用输入从20个不同的组织中,每个弱点评估基于流行,重要性,利用的可能性。它使用常见的弱点评分系统(水煤浆)得分和排名最后的结果。排名前25位的列表包括少量最有效的“怪兽”措施之一,帮助开发者减少或消除整个团体排名前25位的弱点,以及许多的数以百计的弱点CWE所记录的。

未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。

CWE 2.0版本

CWE 2.0版本已经发布在CWE列表页面。一个详细的报告可列出具体版本1.13和2.0版本之间的更改。

CWE 2.0代表了一个重要的里程碑,因为CWE的原始版本1.0在2008年9月。从那时起,136添加了新的条目。主要变化是由734年的93%在CWE 1.0条目。超过一半的CWE 1.0条目的描述或关系变化;超过30%的人改变他们的名字或示范代码示例。CWE 2.0的发布恰逢的释放2011 CWE /无排名前25位,水煤浆0.8,CWRAF0.8,也把所有的改进CWE本身。

的模式更新扩展技术影响枚举和重组一些元素,所以他们可以使用外部。

PDF文档已经更新为显示图形视图等研究视图(cwe - 1000)和开发视图(cwe - 699),和一个“可打印CWE”列表中的所有条目CWE。

未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。

水煤浆0.8版本

0.8版本的常见的弱点评分系统(水煤浆)现在可以为社区审查和评论CWE的网站。一个详细的报告可列出具体版本0.4和0.8版本之间的更改。

水煤浆在以前版本0.8是一个重要的修订,有更好的公式,和改进的值和权重的个人因素。欢迎评论水煤浆和CWRAFcwss@mitre.org。

水煤浆是由共同的弱点枚举(CWE)项目,这是共同的国家网络安全部门(NCSD)美国国土安全部(DHS)。

现在CWRAF 0.8版本可用

0.8版本的常见的弱点风险分析框架(CWRAF)现在可以为社区审查和评论CWE的网站。CWRAF组织应用提供了一种方法常见的弱点评分系统(水煤浆)使用专门的场景(“小插曲”),确定部署的应用程序的业务价值上下文,以优先考虑那些最相关的软件CWE的弱点,自己的企业,任务和部署技术。结合其他活动,CWRAF最终帮助软件开发者和消费者将更安全软件引入到他们的操作环境。

CWRAF, CWE项目的一部分,是共同的软件保证项目国家网络安全部门的美国国土安全部。我们鼓励社区成员审查CWRAF规范和发送反馈cwss@mitre.org。

报道称表示(CCR)添加到CWE程序的兼容性

报道称表示(CCR)是软件分析意味着供应商转达给客户哪些CWE-identified弱点他们声称能够定位软件。CCR文档都写在可扩展标记语言(XML)基于CCR模式。

每个CCR索赔文档将包括组织的名称使索赔及其产品,日期该报道声称,该工具或服务声明(即能够找到弱点。编程语言和/或被分析二进制格式),并将列出特定CWE标识符报道声称和细节的报道。

注意,使这些组织声称在荣誉系统,无论是CCR本身还是CWE兼容性和有效性的程序验证或审查CCR语句覆盖。看到CCR页面为例和/或更多的信息。

CWE的兼容性需求文档更新

的需求和建议CWE兼容性和CWE的有效性文档已经更新,以反映的报道称表示(CCR)到CWE兼容性和有效性的程序部分。

CWE作为2011年报告要求FISMA持续监控合规文档

CWE是包含在2011首席信息官联邦信息安全管理法案》报告指标2011年6月1日发布的文档美国国土安全部和国家标准与技术研究院。文档为政府机构提供网络安全状态报告指标根据联邦信息安全管理法案》(FISMA)专注于自动化系统监控和安全控制的能力。

CWE包含12节报告要求,软件保证分段12.1 b。,which states: "Provide the number of the information systems above (12.1a) where the tools generated output compliant with: 12.1b (1). Common Vulnerabilities and Exposures (CVE) 12.1b (2). Common Weakness Enumeration (CWE) 12.1b (3). Common Vulnerability Scoring System (CVSS) 12.1b (4). Open Vulnerability and Assessment Language (OVAL)."

CWE 1.13版本

CWE 1.13版本已经发布在CWE列表页面。一个详细的报告可列出具体版本1.12和1.13版本之间的更改。

总共有682项重大变化。新版本的主要变化包括:(1)建立21个新的条目,主要类型混乱,相关授权,CERT甲骨文Java安全编码标准;(2)关系的变化136 127条目的条目和分类法映射,主要在CERT /甲骨文Java编码标准的支持;和(3)修改或更新的常见后果678条目提供技术支持的影响常见的弱点风险分析框架(CWRAF)定制的常见的弱点评分系统(水煤浆)。

的模式更新扩展技术影响枚举和重组一些元素,所以他们可以使用外部。

PDF文档已经更新为显示图形视图等研究视图(cwe - 1000)和开发视图(cwe - 699),和一个“可打印CWE”列表中的所有条目CWE。

未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。

CWE / CAPEC MAEC简报国土安全部/国防部/ NIST SwA工作组会议6月28 - 30

CWE /CAPEC项目经理罗伯特·马丁将关于CWE的简报,CWE / CAPEC联合创始人兼建筑师对CAPEC肖恩·巴纳姆将简报,和MAEC项目经理一分钱追逐将提交一份关于MAEC简报国土安全部/国防部SwA工作组会议会话2011年6月28 - 30日在麦克莱恩的斜方公司,美国弗吉尼亚州。

参观CWE日历这和其他活动的信息。

现在用于横切的议程2011安全自动化开发天会议6月14日至17日

斜接的自由议程安全自动化开发人员2011天会议定于2011年6月14日至17日在贝德福德的横切,马萨诸塞州,美国现在是可用的https://register.mitre.org/devdays/agenda.pdf。

注册、住宿、和其他会议详细信息请访问会议注册页面。

CWE / CAPEC教程和软件保证小组讨论系统和软件技术会议2011

CWE /CAPEC项目经理罗伯特·马丁和CWE / CAPEC联合创始人兼建筑师肖恩·巴纳姆提出CWE / CAPEC教程题为“理解系统的弱点和他们如何可以攻击“和参与软件保证讨论小组系统和软件技术会议20115月16 - 19,2011年在美国犹他州盐湖城。

此外,软件保证主管美国国土安全部(DHS)国家网络安全部门乔·哲伯克(NCSD)提出了一个简报题为“测量弹性软件:安全自动化和推动者5月18日”。

参观CWE日历这和其他活动的信息。

CWE / CAPEC教程和软件保证小组讨论系统和软件技术会议20115月16 - 19

CWE /CAPEC项目经理罗伯特·马丁和CWE / CAPEC联合创始人兼建筑师肖恩·巴纳姆将CWE / CAPEC教程题为“理解系统的弱点和他们如何可以攻击“和参与软件保证讨论小组系统和软件技术会议20115月16 - 19,2011年在美国犹他州盐湖城。

此外,软件保证主管美国国土安全部(DHS)国家网络安全部门(NCSD)乔哲伯克将简报题为“测量弹性软件:安全自动化和推动者5月18日”。

参观CWE日历这和其他活动的信息。

斜方举办安全自动化开发人员2011天6月14日至17日

主教法冠公司将举办第三安全自动化开发天会议于2011年6月14日至17日,在贝德福德的横切,麻萨诸塞州,美国。这个为期四天的会议是技术,将专注于美国国家标准与技术研究院(NIST)的安全内容自动化协议(SCAP)和现有的CVE,椭圆形,CCE,CPE,XCCDF,OCIL,CVSS社区标准它使用——在技术细节和获得所有有关各方受益的解决方案。所有当前和新兴的安全自动化标准是解决在这个车间。

可以很快的议程。注册、住宿、和其他会议详细信息请访问https://register.mitre.org/devdays/。

水煤浆的共同弱点风险分析框架

的常见的弱点风险分析框架(CWRAF)提供了一种方法来组织应用常见的弱点评分系统(水煤浆)使用专门的场景(“小插曲”),确定部署的应用程序的业务价值上下文,以优先考虑那些最相关的软件CWE的弱点,自己的企业,任务和部署技术。结合其他活动,CWRAF最终帮助软件开发者和消费者将更安全软件引入到他们的操作环境。

CWRAF包括测量缺陷的风险机制的方式与风险紧密联系业务或任务;支持相关缺陷的自动选择和优先级划分,定制业务的特定需求或任务;可以通过消费者来识别最重要的弱点为他们的业务领域,以通知他们收购和保护活动更大的实现过程的一部分软件保证;和允许用户创建自定义头n个列表排序类的弱点独立于任何特定的软件包,以优先考虑他们彼此相对的(例如,“缓冲区溢出的优先级高于内存泄漏”)。这种“头n个名单”的方法也使用的CWE /无排名前25位,OWASP前十名,类似的努力。

CWRAF, CWE项目的一部分,是共同的软件保证项目国家网络安全部门的美国国土安全部。我们鼓励社区成员审查CWRAF规范和发送反馈cwss@mitre.org。

水煤浆0.4版本

0.4版本的常见的弱点评分系统(水煤浆)白皮书现在可以为社区审查和评论CWE的网站。一个详细的报告可列出具体版本0.3和0.4版本之间的更改。

水煤浆0.4白皮书过去是一个重要的修订版本,基于重要的来自社区的反馈。最系统的变化是vignette-related概念转移到新电脑常见的弱点风险分析框架(CWRAF)所以水煤浆现在只关注指标和公式。文件也进行了更新,更好的解释水煤浆不同于普通危险得分系统(CVSS)与这两个行动主要在软件生命周期的不同阶段。它还包括系统性变化因素的四个因素(新共18)的得分作为新方法有四种concern-System的“层”,应用程序,网络,和企业(明智)——克服了先前的系统只CVSS的偏见。用理智的层与技术有关的因素影响更细粒度的描述现在可以代表的攻击场景。“默认”值也增加了为每个因素对消费者无法做自己的定制,也为工具厂商或服务提供一个合理的、可重复的初始值在无知的情况下。其他因素和公式的变化也。欢迎评论水煤浆和CWRAFcwss@mitre.org。

水煤浆是由共同的弱点枚举(CWE)项目,这是共同的国家网络安全部门(NCSD)美国国土安全部(DHS)。

斜接主机CWE /安全可衡量的展台信息安全世界2011

主教法冠CWE /托管使安全可衡量的布斯在信息安全世界大会和2011年世博会在奥兰多的迪斯尼的当代度假村,佛罗里达,美国,2011年4月19日,。与会者学习信息安全数据标准等CWE,CAPEC,MAEC等,促进有效的安全过程的协调和使用自动化评估、管理和改善企业安全信息基础设施的安全状况。

参观CWE日历这和其他活动的信息。

CWE包含在国土安全部使分布式网络安全白皮书

CWE被包括在美国国土安全部(DHS)使分布式网络安全白皮书发布于2011年3月23日的国土安全部网站博客。白皮书的主要话题是“如何加强预防和防御通过三个安全构建块:自动化、互操作性、和身份验证。如果这些构建块纳入网络设备和流程,网络利益相关者会大幅升值的手段,以识别和应对威胁——创建和交换信任信息和协调近乎实时的行动。”

互操作性定义为已经“通过这种方法被许多过去十年精制工业、学术界和政府。信息化的方法,这是通常被称为[网络]安全内容自动化…”,由(1)枚举的“网络安全”和列表的基本实体CVE,CCE,CPE,CWE,CAPEC;(2)语言和格式,“将枚举和断言支持创建机器可读的安全状态,评估的结果,审计日志消息,和报告”和列表椭圆形,中东欧,MAEC;和(3)知识存储库”包含一个广泛的最佳实践的集合,基准,资料、标准、模板、清单、工具、指南,规则和原则,其中“基于或将数据从这些标准。

该报还指出,这八建立社区枚举和语言标准,多年来一直在使用在社区内可以进一步利用前进,因为他们是“标准,建立自己扩大功能随着时间”,和扩大提供实用的预测到2014年。

白皮书可以查看或下载http://www.dhs.gov/xlibrary/assets/nppd -网络生态系统-白-纸- 03 - 23 - 2011. - pdf。

斜接主机CWE /安全可衡量的展台信息安全世界20114月19日

主教法冠将主办一个CWE /使安全可衡量的布斯在信息安全世界大会和2011年世博会在奥兰多的迪斯尼的当代度假村,佛罗里达,美国,2011年4月19日,。

CWE团队的成员将出席。请停止307年布斯说,你好!

参观CWE日历这和其他活动的信息。

CWE / CAPEC简报和软件保证面板质量工程软件和测试(追求)会议

CWE /CAPEC项目经理罗伯特·马丁提出简报CWE / CAPEC和参加小组讨论题为“软件保证:质量保证能够更好的解决软件安全性和弹性”质量工程软件和测试(追求)会议2011年4月6日在波士顿,美国马萨诸塞州。讨论小组由软件保证主管主持美国国土安全部(DHS)国家网络安全部门(NCSD)乔哲伯克。

参观CWE日历这和其他活动的信息。

CWE 1.12版本

CWE 1.12版本已经发布在CWE列表页面。一个详细的报告可列出具体版本1.11和1.12版本之间的更改。

新版本的主要变化包括:(1)建立9新的条目,大多与迭代,认证,和业务逻辑;(2)38个条目的名称的变化,和描述的37项;(4)修改移植了80项,主要是为了进一步规范化缓解文本;(5)更新为58项的关系,许多子树重组的访问控制;(6)更新的示范例子42项,主要是使用PHP示例;和(7)236项重大变化。没有不支持或模式的变化。

PDF文档已经更新为显示图形视图等研究视图(cwe - 1000)和开发视图(cwe - 699),和一个“可打印CWE”列表中的所有条目CWE。

的CWE /无排名前25位已经更新,以反映CWE的变化内容。

未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。

CWE / CAPEC简报和软件保证面板质量工程软件和测试(追求)会议4月4 - 8

CWE /CAPEC项目经理罗伯特·马丁将简报CWE / CAPEC和参加小组讨论题为“软件保证:质量保证能够更好的解决软件安全性和弹性”质量工程软件和测试(追求)会议2011年4月6日在波士顿,美国马萨诸塞州。讨论小组将由软件保证主管美国国土安全部(DHS)国家网络安全部门(NCSD)乔哲伯克。

参观CWE日历这和其他活动的信息。

斜接主机CWE /安全可衡量的展台2011年信息保障研讨会

主教法冠CWE /托管使安全可衡量的展位的2011年信息保障研讨会美国田纳西州纳什维尔,2011年3月8 - 10日。研讨会旨在汇集行业,政府和军事信息保障(IA)专业人士最新可用的IA的产品和解决方案。与会者学习信息安全数据标准等CWE,CAPEC,MAEC等,促进有效的安全过程的协调和使用自动化评估、管理和改善企业安全信息基础设施的安全状况。

参观CWE日历这和其他活动的信息。

修订后的共同弱点评分系统(水煤浆)白皮书现在可用

一个修改后的版本的介绍了常见的弱点评分系统(水煤浆)白皮书现在可以为社区审查和CWE网站下载。大多数的开发和改进的第一个主要版本水煤浆预计将在2011年发生。

水煤浆0.3白皮书首次发布是一个重大的改进,基于重要的来自社区的反馈。它包括几个框架的概述图像。它定义了技术组,添加了更多的业务领域,并定义更多的小插曲。它提供了更多的细节在每个因素的评分方法,并提供更多的细节,包括哪些因素可以考虑删除。它还提供了一些示例分数和定义了水煤浆向量。白皮书总结给未来活动和方法,社区可以参与,并提供附录覆盖相关的努力。

水煤浆是由共同的弱点枚举(CWE)项目,这是共同的国家网络安全部门(NCSD)美国国土安全部(DHS)。

IBM Rational使两个声明CWE的兼容性

IBM Rational宣布,它的两个web应用程序安全评估工具,Rational AppScan标准版和Rational AppScan Express Edition, CWE-Compatible。

额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。

斜接主机CWE /安全可衡量的展台2011年信息保障研讨会3月8 - 10

主教法冠将主办一个CWE /使安全可衡量的展位的2011年信息保障研讨会美国田纳西州纳什维尔,2011年3月8 - 10日。研讨会旨在汇集行业,政府和军事信息保障(IA)专业人士最新可用的IA的产品和解决方案。

CWE团队的成员将出席。请停止217年布斯说,你好!

参观CWE日历这和其他活动的信息。

CWE / CAPEC MAEC简报国土安全部/国防部/ NIST SwA论坛

CWE /CAPEC项目经理罗伯特·马丁提出关于CWE的简报,CWE / CAPEC创始人肖恩·巴纳姆提出了关于CAPEC简报和架构师MAEC项目经理一分钱追逐MAEC吹风会介绍到国土安全部/国防部/ NIST SwA论坛2011年2月28日- 3月4日,在麦克莱恩的斜方公司,美国弗吉尼亚州。

参观CWE日历这和其他活动的信息。

斜接主机CWE /安全可衡量的展台RSA 2011

主教法冠CWE /托管使安全可衡量的布斯在RSA 2011在旧金山Moscone中心,加利福尼亚,美国2月14 - 18,2011。与会者学习信息安全数据标准等CWE,CAPEC,MAEC等,促进有效的安全过程的协调和使用自动化评估、管理和改善企业安全信息基础设施的安全状况。

CWE采用者照片:

使安全可衡量的展位照片:

参观CWE日历这和其他活动的信息。

更新的共同弱点评分系统(水煤浆)白皮书现在可用

的更新版本介绍了常见的弱点评分系统(水煤浆)白皮书现在可以为社区审查和CWE网站下载。大多数的开发和改进的第一个主要版本水煤浆预计将在2011年发生。

水煤浆0.2白皮书首次发布是一个重大的改进,基于重要的来自社区的反馈。进一步阐明了“插曲”概念允许用户集成业务考虑得分,上下文捕获的业务价值。九个不同画面则提供例子。水煤浆0.2确定14个独立因素可能导致水煤浆得分。白皮书总结给未来活动和方法,社区可以参与,并提供附录覆盖相关的努力。

水煤浆是由共同的弱点枚举(CWE)项目,这是共同的国家网络安全部门(NCSD)美国国土安全部(DHS)。

CWE / CAPEC MAEC简报国土安全部/国防部/ NIST SwA论坛,2月28日- 3月4日

CWE /CAPEC项目经理罗伯特·马丁将关于CWE的简报,CWE / CAPEC联合创始人兼建筑师对CAPEC肖恩·巴纳姆将简报,和MAEC项目经理一分钱追逐将提交一份关于MAEC简报国土安全部/国防部/ NIST SwA论坛2011年2月28日- 3月4日,在麦克莱恩的斜方公司,美国弗吉尼亚州。

参观CWE日历这和其他活动的信息。

LDRA使两个声明CWE的兼容性

LDRA宣布,它的两个静态和动态软件分析工具,LDRA试验台和TBvision CWE-Compatible。

额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。

软件保证主题,使安全衡量表展台国际会议软件质量

软件保证主管美国国土安全部(DHS)国家网络安全部门乔·哲伯克(NCSD)提出了一个主旨,题为“软件保证:建筑安全作为安全关键软件的必要的推动者”的国际会议软件质量2011年2月8日在圣地亚哥,加州,美国。也有使安全可衡量的表布斯在世博会期间的部分事件2月8 - 10。

参观CWE日历这和其他活动的信息。

软件保证主题国际会议软件质量,2月8日

软件保证主管美国国土安全部(DHS)国家网络安全部门(NCSD)乔哲伯克将主题名为“软件保证:建筑安全作为安全关键软件的必要的推动者”的国际会议软件质量2011年2月8日在圣地亚哥,加州,美国。

也会有使安全可衡量的表布斯在世博会期间的部分事件,运行2月8 - 10。

参观CWE日历这和其他活动的信息。

斜接主机CWE /安全可衡量的展台RSA 20112月14 - 18

主教法冠将主办一个CWE /使安全可衡量的在RSA 2011在旧金山Moscone中心,加利福尼亚,美国2月14 - 18,2011。与会者将了解信息安全数据标准等CWE,CAPEC,MAEC等,促进有效的安全过程的协调和使用自动化评估、管理和改善企业安全信息基础设施的安全状况。

CWE团队的成员将出席。请停止2617年布斯说,你好!

参观CWE日历这和其他活动的信息。

CWE /安全可衡量的展台黑帽直流2011

主教法冠CWE /托管使安全可衡量的布斯在黑帽直流2011,2011年1月18日至19日在阿灵顿,弗吉尼亚州,美国。与会者学习信息安全数据标准促进有效的安全过程的协调和使用自动化评估、管理和改善企业安全信息基础设施的安全状况。

参观CWE日历这和其他活动的信息。

斜方宣布最初的“安全”可测量的2011年日历的事件

斜方宣布首次使安全可衡量的2011年的日历事件。细节对于横切的安排参加指出在这些事件CWE日历页面。每个清单包括事件名称和URL,日期,地点,和我们的活动的描述事件。

其他事件可能被添加在。参观CWE日历信息或联系cwe@mitre.org斜方提交一份简报或参与小组讨论CWE,CAPEC,MAEC,CVE,CCE,CPE,中东欧,椭圆形、软件保证和/或使安全可衡量的在你的事件。

CAPEC CWE / MAEC简报国土安全部/国防部/ NIST SwA工作组会议

CWE /CAPEC项目经理罗伯特·马丁提出关于CWE的简报,CWE / CAPEC创始人肖恩·巴纳姆提出了关于CAPEC简报和架构师MAEC项目经理一分钱追逐MAEC吹风会介绍到国土安全部/国防部SwA工作组会议会话2010年12月14 - 16,在麦克莱恩的斜方公司,美国弗吉尼亚州。

参观CWE日历这和其他活动的信息。