常见的弱点枚举
播客
媒介
万博下载包新闻存档
一个额外的信息安全产品取得了横切的正式的最后阶段CWE兼容程序现在正式”CWE-Compatible”。产品现在有资格使用CWE-Compatible产品/服务标志,和完成并审查”CWE兼容性需求评估”问卷发布为产品的一部分组织的清单CWE-Compatible产品和服务CWE网站页面。总共28产品迄今为止被认为是正式的。
以下产品现在注册为正式“CWE-Compatible”:
- - - - - - |
使用官方CWE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用SwA时为他们的企业、产品和服务的兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CWE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。
额外信息CVE兼容性和审查列出的所有产品和服务,访问CWE兼容程序和CWE-Compatible产品和服务。
2014年6月23日
CWE 2.7版本已经发布在CWE列表页面。一个详细的报告可列出具体版本2.6和2.7版本之间的更改。
有两个新条目。135年,被修改的条目。主要变化包括:(1)描述更改为42项,主要用于扩展的细节;(2)关系改变了35项,主要反映了OWASP十大2013视图;(3)潜在的缓解更新20项;(4)修改76年Other_Notes元素条目,主要去移动相关字段;(5)更新常见的攻击模式枚举和分类(CAPEC™)攻击模式8项;和(6)更新为示范例子至少10项,观察到的例子中,常见的后果,适用的平台,关系指出,模式的介绍,和模式的介绍。
没有模式变化。
未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。
主教法冠软件和托管供应链保证(私)工作组会议2014年6月9日,10日,11日,17日在麦克莱恩的斜方公司,美国弗吉尼亚州。事件集中在降低硬件和软件供应链中的风险。
参观CWE日历这和其他活动的信息。
2014年6月3日
斜方举办软件和供应链保证工作组会议6月9日,10日,11日,17岁
主教法冠将主办软件和供应链保证(私)工作组会议2014年6月9日,10日,11日,17日在麦克莱恩的斜方公司,美国弗吉尼亚州。事件集中在降低硬件和软件供应链中的风险。
看到活动议程额外的信息。
参观CWE日历这和其他活动的信息。
2014年5月15日
CWCWE、CAPEC CVE文章的主题是关于“Heartbleed”缺陷斜接的网络安全的博客
CWE、CAPEC CVE和一篇文章的主题是“帮助阻止Heartbleed安全标准“CAPEC技术导致了Buttner横切的网络安全博客上5月7日,2014年。“Heartbleed”cve - 2014 - 0160,是一个严重的漏洞在“某些版本的OpenSSL,它允许远程攻击者获取敏感信息,比如密码和加密密钥。许多流行的网站受到影响或风险,反过来,让无数的用户和消费者面临风险。”
本文定义了常见的漏洞和风险敞口(CVE®),常见的弱点枚举(CWE™),常见的攻击模式枚举和分类(CAPEC™)e努力和解释了每个解决问题。
在部分题为“CVE和Heartbleed”、“CWE Heartbleed”和“CAPEC Heartbleed,”这篇文章描述了CVE帮助当问题成为公众通过分配CVE - 2014 - 0160,也被称为Heartbleed错误,以及如何CWE和CAPEC可以帮助防止未来的Heartbleeds。
本文作者总结如下:“安全自动化的努力如CVE、CWE CAPEC可以帮助减少的可能性将来Heartbleed等类似的严重漏洞。但它是义不容辞开发者和其他安全专家积极利用这些资源来更好的准备下一个Heartbleed。”
2014年5月6日
CWE和常见的漏洞和风险敞口(CVE®)作为引用包含在4月29日,题为“2014年白皮书cve - 2014 - 0160,cwe - 130:处理不当的长度参数不一致,cwe - 125:禁止入内的阅读。
CWE前言中提到3月/ 2014年4月的问题相声:《防御软件工程
CWE的序言中提到3月/ 2014年4月的问题相声:《防御软件工程的主题是“序言是由罗伯塔Stempfley的代理助理国务卿美国国土安全部的网络安全办公室和通讯,CVE提到如下:“我们如何协作协调行业和政府应对这些攻击(在信息和通讯技术(ICT)资产)?方法之一是通过常见的漏洞和风险敞口(CVE)列表,这是一个广泛的公开已知的漏洞发现清单后ICT组件部署。由美国国土安全部(DHS),无处不在的CVE的采用使得沟通的公共和私营部门以一致的方式在国内外商业和开源软件的漏洞。CVE使我们操作组优先,近60000公开报道漏洞补丁,和纠正。不幸的是,漏洞正在迅速增殖从而延伸我们的能力和资源。当我们试图发现和减轻这些弱点的根源,分享他们的知识我们可以帮助减轻其影响。为了跟上的威胁,我们必须促进自动化的信息交换。实现,国土安全部赞助商“免费使用”的标准,如:常见的弱点枚举(CWE),它提供了讨论和缓解的建筑,设计,和编码缺陷之前介绍了在开发和使用;常见的攻击模式枚举和分类(CAPEC),使开发者和维护者来辨别攻击和构建软件对他们;恶意软件属性枚举和表征(MAEC)编码和高保真恶意软件基于信息沟通行为,工件,和攻击模式; Structured Threat Information eXpression (STIX), which conveys the full range of potential cyber threat information using the Trusted Automated eXchange of Indicator Information."
整个问题是免费提供各种格式的http://www.crosstalkonline.org/。
CWE和CVE文章中提到的关于减轻风险的假冒和2014年3月/ 4月期污染组件相声
CWE和常见的漏洞和风险敞口(CVE®)CWE /写的一篇文章中包括CAPEC项目经理罗伯特·马丁题为“相声:《防御软件工程的主题是“CWE和CVE中提到一段题为“通过业务价值做出改变,”如下:“一个行为改变一个行业出于一个新的商业价值,考虑到目前的许多供应商做公共披露这样做,因为他们想要包括CVE[14]报告给客户的标识符。然而,他们不可能CVE标识符分配给一个漏洞问题直到有公开信息CVE关联的问题。供应商是动机包括CVE标识符将请求从大型企业客户想要的信息,这样他们可以跟踪他们的漏洞补丁使用商用工具/补救措施。CVE标识符是他们计划将这些工具集成的方式。基本价值主张的社区创造一个生态系统,影响了软件产品供应商(以及脆弱性管理供应商)做事,帮助社区,作为一个整体,更有效地发挥自身作用。同样,大型企业利用CWE标识符来协调和相关内部软件质量/安全审查和其他保证措施。从这个起点,他们一直在问笔测试服务和工具社区CWE标识符包含在他们的发现。CWE标识符时发现是其他人认为是好的做法,直到笔测试行业参与者的商业价值有意义,他们开始采用和推广最先进的,以更好地利用它们。”
CWE也提到了一段名为“保证最危险的无恶意的问题”,解释了信息”CWE是什么以及如何能协助项目人员计划保证活动;它将使他们更好地结合弱点导致特定的分组技术影响的清单具体检测方法。这提供了信息的存在特定的缺点,使他们能够确保危险的解决。”
整个问题是免费提供各种格式的http://www.crosstalkonline.org/。
CWE / CAPEC项目经理罗伯特·马丁提出一个讨论的简报常见的弱点枚举(CWE™)和常见的攻击模式枚举和分类(CAPEC™)题为“构建软件保证路线图和有效地使用它,”的国际工程师协会下属的计算机协会的弗吉尼亚州北部电脑& ASQ 509章软件团体会议4月22日,美国弗吉尼亚麦克林2014。
主题包括材料从最近的2014年3月/ 4月相声文章关注”软件保证匝道CWE网站收集,和当前的想法将更多的非软件弱点CWE反映相同的混合CAPEC已经解决的关键功能。
参观CWE日历这和其他活动的信息。
2014年4月10日
CWE / CAPEC项目经理罗伯特·马丁将讨论的简报常见的弱点枚举(CWE™)和常见的攻击模式枚举和分类(CAPEC™)题为“构建软件保证路线图和有效地使用它,”的国际工程师协会下属的计算机协会的弗吉尼亚州北部电脑& ASQ 509章软件团体会议4月22日,美国弗吉尼亚麦克林2014。
参观CWE日历这和其他活动的信息。
“进展信息保障标准”简报在联邦收购方案Seminar-Software质量
CWE / CAPEC项目经理罗伯特·马丁,为网络安全高级顾问美国总务管理局办公室任务的保证E埃米尔Monette和计算机科学家美国国家标准与技术研究院黎肖娴保罗医生黑,一份简报题为“在联邦收购方案Seminar-Software质量3月26日,在美国弗吉尼亚州的莱斯顿,2014。
简报,其中包括讨论常见的弱点枚举(CWE™)和常见的攻击模式枚举和分类(CAPEC™)描述了“国家努力识别和消除安全隐患的原因通过发展共同的弱点枚举库…使用信息的最佳实践在存储库中为提高软件的安全性…如何衡量的安全软件和这是如何实现的使用方案及安全措施。”
这个简报的幻灯片是可用的http://it cisq.org/wp - content/uploads/2014/04/cisq研讨会- 2014 - _03_26 - - -信息保证standards.pdf进步。
参观CWE日历这和其他活动的信息。
斜方举办了软件和供应链保证(私)2014年春季论坛2014年3月18 - 20日在麦克莱恩的斜方公司,美国弗吉尼亚州。这次活动的主题是“缓解供应链中的硬件和软件的风险。”
参观CWE日历这和其他活动的信息。
2014年3月14日,
打开Web应用程序安全性项目(OWASP)宣布,其评估和修复工具,Zed攻击代理,CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。
斜方举办软件和供应链保证2014年春天论坛3月18日至20日
主教法冠将主办软件和供应链保证(私)2014年春季论坛2014年3月18 - 20日在麦克莱恩的斜方公司,美国弗吉尼亚州。这次活动的主题是“缓解供应链中的硬件和软件的风险。”
参观CWE日历这和其他活动的信息。
信息保障标准简报在联邦收购方案Seminar-Software质量3月26日
CWE / CAPEC项目经理罗伯特·马丁,为网络安全高级顾问美国总务管理局办公室任务的保证E埃米尔Monette和计算机科学家美国国家标准与技术研究院保罗医生黑色,将co-present简报题为“信息保障标准的进步,”在联邦收购方案Seminar-Software质量3月26日,在美国弗吉尼亚州的莱斯顿,2014。
发布会上,将包括讨论常见的弱点枚举(CWE™)和常见的攻击模式枚举和分类(CAPEC™),将描述“国家努力识别和消除安全隐患的原因通过发展共同的弱点枚举库…使用信息的最佳实践在存储库中为提高软件的安全性…如何衡量的安全软件和这是如何实现的使用方案及安全措施。”
参观CWE日历这和其他活动的信息。
CWE / CAPEC项目经理罗伯特·马丁参加讨论小组题为“测量作为一个关键的信心:提供保证”2014年2月27日RSA会议2014在旧金山,加州,美国。
参观CWE日历这和其他活动的信息。
2014年2月19日
CWE 2.6版本已经发布在CWE列表页面。一个详细的报告可列出具体版本2.5和2.6版本之间的更改。
有3个新条目,多数与沟通渠道。73年,被修改的条目。主要变化包括:(1)名称和描述的变化分别为4和8项,主要是相关的移动应用程序;(2)关系改变了14项,主要反映重组研究的视图,以更好地处理移动和通信通道的弱点;(3)潜在的缓解更新22项;(4)相关的攻击模式(CAPEC在22个条目)更新;(5)新示范例子在22个条目,主要为移动应用程序;和(6)更新在18个条目引用。
的CWE模式更新到5.4版本支持的另一种编程语言示范例子。
PDF文档已经更新为显示图形视图等研究视图(cwe - 1000)和开发视图(cwe - 699),和一个“未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。
一个CWE映射和导航指导页面添加到CWE的网站。新页面提供信息映射到CWE-IDs提示搜索和导航CWE CWE网站上的内容包括以下几点:“CWE id映射——标准最好的比赛,”“CWE-ID使用网站地图,”和“附加搜索和导航的建议。”
的开始在软件保证(SwA)CWE网站收集,也被称为“SwA匝道”集合,与新的一页已经更新和增强检测方法与技术影响指导信息。
这个集合包括软件保证的概述,然后指出的几个步骤/阶段获得保证软件的韧性,可靠性和健壮性与适当的链接更多的信息关于这些不同的步骤。
收藏品包括更新以下关于检测和影响:
工程攻击——讨论了需要考虑您的应用程序可能面临的攻击你开始你的概念定义,设计和架构的努力,以及你们的编码和部署工作。
软件质量——如何有助于secureness关注质量,可靠性和健壮性的软件。
基于组织的任务优先级弱点——这更新的页面包括一个讨论前25名努力,水煤浆,CWRAF,和一个新的讨论技术影响和检测方法的方法。
检测方法——这个新页面提供的信息不同类型的弱点被不同类型的检测方法和可发现的,项目团队应该利用计划这弱点他们处理不同阶段的开发工作。
可管理的步骤——总结上述和强化了需要计划和管理软件保证精力可完成的步骤。
反馈这个集合是受欢迎的cwe@mitre.org。
CWE / CAPEC项目经理罗伯特·马丁将参加讨论小组题为“测量作为一个关键的信心:提供保证”2014年2月27日RSA会议2014在旧金山,加州,美国。
这个小组讨论主题总结如下:“提供安全保证依赖于项目,计划和评估者指定并执行适当的测量。这些可能包括采样策略,规范适当的边界和严格的评估。安全保证声明的信心取决于评估和适当的测量规范的一致性保证需求。”
参观CWE日历这和其他活动的信息。
2014年1月17日
MathWorks公司。宣布,其静态分析工具检查程序和编码规则,Polyspace错误发现者,将CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和Effectivenessa部分。
CWE中提到美国国防高级研究计划局(DARPA)”网络大挑战“12月24日宣布,2013年的一个常见问题文档。“DARPA网络挑战赛(公司治理文化)是完全自动化的网络防御的比赛。目前类似于计算机安全竞赛由专家软件分析师,竞争的公司治理文化打算允许开创性的原型系统首次在“自己的联赛。”During the competition, automatic systems would reason about software flaws, formulate patches and deploy them on a network in real time."
CWE是两个答案中提到http://cwe.mitre.org/遵循;鼓励团队利用这个列表作为一个起点,而不是参考。”的answer to A10 also lists 39 individual CWE entries by CWE-IDs, for example, "CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow'), etc.".
看到https://dtsn.darpa.mil/CyberGrandChallenge/default.aspx额外的信息。
斜方举办了国土安全部/国防部软件和供应链保证工作组会议2013年12月17日- 19日在麦克莱恩的斜方公司,美国弗吉尼亚州。讨论的话题包括软件和供应链保证(私)遥遥领先,网络行政命令和框架/新兴行业标准和最佳实践、工具和技术最先进的报告(上升),供应链风险管理(SCRM)分类法信息共享,教育和培训,私移动,国土安全部研发软件保证市场(沼泽),和一个SCRM工作组研讨会。
参观CWE日历这和其他活动的信息。
