万博下载包新闻和事件- 2015存档右键单击并将URL复制分享的一篇文章。发送反馈页面cwe@mitre.org。 2015年12月7日|分享这篇文章 CWE 2.9版本已经发布在CWE列表页面。一个详细的报告可列出具体版本2.8和2.9版本之间的更改。 有一个新条目,视图CWE - 1003,更新CWE - 635(弱点NVD)提供成套CWE条目超过19项,用于CWE自2008年- 635年。119年,条目进行了修改,主要是由于新关系,更新视图。 主要变化包括:(1)名称变更为1项,(2)关系改变为114条目相关的新视图,和(3)改变少数条目基于外部各方的反馈。 没有变化的模式。 PDF文档已经更新为显示图形视图等研究视图(cwe - 1000)和开发视图(cwe - 699),和一个“可打印CWE”列表中的所有条目CWE。 未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。 1产品从朗讯天空现在注册为正式“CWE-Compatible” 2015年12月7日|分享这篇文章
一个额外的信息安全产品取得了横切的正式的最后阶段CWE兼容程序,现在正式”CWE-Compatible”。产品现在有资格使用CWE-Compatible产品/服务标志,和完成并审查”CWE兼容性需求评估”问卷发布为产品的一部分组织的清单CWE-Compatible产品和服务CWE网站页面。总共42产品迄今为止被认为是正式的。 以下产品已经注册为正式“CWE-Compatible”:
使用官方CWE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用SwA时为他们的企业、产品和服务的兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CWE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。 关于CWE的额外信息兼容性和审查列出的所有产品和服务,访问CWE兼容程序和CWE-Compatible产品和服务。 CWE /水煤浆CAPEC ITU中提到的“安全”2015年电信和信息技术 2015年12月7日|分享这篇文章 常见的弱点枚举(CWE™),常见的弱点评分系统(水煤浆™),常见的攻击模式枚举和分类(CAPEC™)包括在2015年9月的技术报告题为“2015年电信和信息技术安全“在国际电信联盟(ITU)的网站。报告的主题是“问题的概述和部署电信现有ITU-T建议安全。” CWE、水煤浆和CAPEC-as一样常见的漏洞和风险敞口(CVE®)和恶意软件属性枚举和表征(MAEC™)——中提到“第11章——网络安全事件反应,”如下:常见的漏洞和风险敞口(CVE)的主要话题是部分“11.1.2漏洞信息的交换,“CWE的主要话题是部分“11.1.4弱点信息的交换”,水煤浆的主要话题是部分“11.1.5弱点得分,”的主要话题是CAPEC节“11.1.5攻击模式信息的交换,和恶意软件属性枚举和截面特性(MAEC)是主要的主题“11.1.7恶意软件特征信息的交换”。 该报告是可供免费下载:http://www.itu.int/dms_pub/itu - t/opb/tut/t图坦卡蒙e.pdf——秒- 2015 pdf。 2015年12月7日|分享这篇文章 CWE提到在2015年12月6日,文章题为“最脆弱的攻击向量“密码简短。本文采访的美国国土安全部(DHS)主任软件和供应链保证网络安全和通信乔哲伯克对“威胁面对供应链和最好的办法减轻他们。” CWE提到了哲伯克在回答问题最有效的方法,企业可以通过减轻他们的供应链风险,如下:“企业需要信号,草率的“制造业由潜在供应商网络卫生”是不可接受的。最好的信号是通过采购合同条款和条件需要应对不合格品验收标准和责任。作为采购实践的一部分,和之前被用于操作,ICT组件需要进行恶意软件检测,已知的漏洞(cf国家漏洞数据库),和可利用的弱点(cw)最适用于技术的部署环境——通过使用企业进行的测试或通过独立的第三方评估和认证”。 2015年12月7日|分享这篇文章 CWE是引用作为一个产品的特性在11月30日,2015年新闻发布题为“IAR系统提高8051与高度要求的静态代码分析工具“通过IAR系统。 CWE提到如下:“C-STAT功能创新的静态分析,可以发现缺陷,错误,和安全漏洞所定义的CERT C / c++和常见的弱点枚举(CWE),以及帮助保持代码兼容的编码标准像MISRA - C: 2004年,MISRA c++: 2008和MISRA - C: 2012。通过使用静态分析,可以识别错误,例如内存泄漏,违规访问,算术错误,数组和字符串超支处于初期阶段。这使开发人员确保代码质量和最小化误差的影响成品和项目时间表。” 阅读完整的新闻稿:https://www.iar.com/about-us/万博下载包newsroom/press/?releaseId=2053293。 2015年12月7日|分享这篇文章 CWE是引用作为一个产品的特性在11月19日,2015年新闻稿由列信息安全题为“列信息安全与Veracode宣布合作伙伴协议。" CWE的新闻稿开始提到的子弹数量2,4,如下:“网络边界安全——发现所有与客户相关的面向Web的应用程序——包括云端的网站,暂时的营销网站,并执行一个全面深度扫描快速识别高度可利用的漏洞如OWASP前十名和CWE / SANS。” CWE-IDs引用ToolsWatch.org的“ICS / SCADA十大最危险的软件弱点”白皮书 2015年12月7日|分享这篇文章 CWE标识符(CWE-IDs)是用来唯一地标识所讨论的弱点在11月5日,题为“2015年白皮书ICS / SCADA十大最危险软件的弱点”在ToolsWatch.org上。 白皮书讨论作者的方法用于确定其十大弱点,然后使用以下CWE-IDs来唯一地标识:(1)cwe - 119:不当的操作限制的范围内一个内存缓冲区;(2)CWE-20:不适当的输入验证;(3)CWE-22:不当限制限制目录的路径名(“路径遍历”);(4)cwe - 264权限,权限和访问控制;(5)cwe - 200:信息风险;(6)cwe - 255:凭证管理;(7)cwe - 287:不适当的身份验证;(8)cwe - 399:资源管理错误;(9)cwe - 79:不当中和的输入在Web页面生成(“跨站点脚本编制”);(10)cwe - 189:数字错误。 作者还提供了额外的讨论每个弱点,然后列出了前5名供应商作者认为最受影响的每个十的弱点。 TechTarget CWE文章中提到的关于安全的应用程序开发 2015年12月7日|分享这篇文章 CWE提到11月2日,2015篇题为“问答:时代的安全应用程序开发mashupTechTarget”。本文采访Veracode首席战略官山姆王。 CWE回应中提到的一个问题是关于如何“…现在常见的混搭应用程序使用整个程序组件,生成的应用程序继承了一个错误堆栈的总和组成的组件的缺陷加上任何…”之间的相互作用,如下:“你需要一组商定的质量标准,与牙齿遵从性计划,为供应商信号符合这些标准,测试方法对于每个人都同意的遵从性,和一个明确的价值定位为企业和供应链,使其工作。我们开始看到一些碎片的上下文中实现供应商提供的应用程序之间的FS-ISAC推荐二进制静态测试,软件组件分析和VBSIMM(或等效,OpenSAMM);市场标准OWASP等测试,CWE / SANS最危险的软件错误Veracode的Verafied密封;包含软件PCI和供应链安全标准;和联邦诉讼的威胁网络安全的保护不足。对于利用第三方Web服务的mashup应用程序,这个模型,其中的一些特定的(风险规避)策略——可能有助于组织试图让他们拥抱这种风险。” 2015年12月7日|分享这篇文章 CWE提到在2015年10月20日,文章题为“LTE网络邪恶的虫子”在Fudzilla.com上。本文的主题是“卡内基梅隆大学的证书数据库安全漏洞发布警报有关LTE(长期演进)移动网络的地位。” CWE提到如下:“技术有四个漏洞,允许攻击者恶搞电话号码,虚报客户,电话和网络上创建DoS攻击,并获得免费的数据传输不被起诉…CERT说四个漏洞(CWE CWE CWE - 732 - 284 - 287,和CWE - 384)允许攻击者利用一些不正确设置调用权限、能力之间建立直接的会议电话,身份验证对SIP消息,不当和错误,使攻击者建立多个会话相同的电话号码。” 访问cwe - 732:不正确的权限分配的关键资源;cwe - 284:不适当的访问控制;cwe - 287:不适当的身份验证;和cwe - 384:会话固定想要了解更多关于这些问题。 2015年12月7日|分享这篇文章 CWE提到在2015年10月12日,文章题为“开始对医疗设备的网络安全“在医疗设备和诊断行业(MD + DI)。本文的主题是“应对网络安全在医疗设备可以恐吓,让制造商不知所措,不知道从哪里开始。” CWE提到如下:“解决网络安全的概念在医疗设备可以恐吓,让制造商不知所措,问他们应该开始的地方。在制定计划要去哪里之前,重要的是要找出你的立场。设备上执行漏洞评估目前在野外是一个伟大的方式来找出你在的地方,结果将使您能够确定哪些步骤可以采取提高设备的安全状况。利用等业界最佳实践无和CWE前25以及OWASP前十名常见的缺陷,在应用程序的安全。这些列表是美妙的针对性易于消化,可以采取措施提高设备或软件应用程序的安全。” 2015年12月7日|分享这篇文章 三个CWE标识符(CWE-IDs)引用在9月8日2015篇题为“希捷问题解决无线硬盘后门漏洞“在询问者。本文的主题是希捷硬盘的漏洞发现,“CERT公告确认缺陷可以用来注入恶意文件到无线驱动,控制或感染连接设备”。 以下三个CWE-IDs引用,以及常见的漏洞和风险敞口(CVE®)标识符,来唯一地标识的三个问题:cwe - 798:使用硬编码的凭证和cve - 2015 - 2874;cwe - 425:直接请求(“强迫浏览”)和cve - 2015 - 2875;和cwe - 434:无限制上传文件与危险的类型和cve - 2015 - 2876。 2产品从Suresoft技术现在注册为正式“CWE-Compatible” 2015年12月1日|分享这篇文章
一个额外的信息安全产品取得了横切的正式的最后阶段CWE兼容程序,现在正式”CWE-Compatible”。产品现在有资格使用CWE-Compatible产品/服务标志,和完成并审查”CWE兼容性需求评估”问卷发布为产品的一部分组织的清单CWE-Compatible产品和服务CWE网站页面。总共41产品迄今为止被认为是正式的。 以下产品已经注册为正式“CWE-Compatible”:
使用官方CWE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用SwA时为他们的企业、产品和服务的兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CWE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。 关于CWE的额外信息兼容性和审查列出的所有产品和服务,访问CWE兼容程序和CWE-Compatible产品和服务。 1产品从铸造软件现在注册为正式“CWE-Compatible” 2015年12月1日|分享这篇文章
一个额外的信息安全产品取得了横切的正式的最后阶段CWE兼容程序,现在正式”CWE-Compatible”。产品现在有资格使用CWE-Compatible产品/服务标志,和完成并审查”CWE兼容性需求评估”问卷发布为产品的一部分组织的清单CWE-Compatible产品和服务CWE网站页面。总共41产品迄今为止被认为是正式的。 以下产品已经注册为正式“CWE-Compatible”: 使用官方CWE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用SwA时为他们的企业、产品和服务的兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CWE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。 关于CWE的额外信息兼容性和审查列出的所有产品和服务,访问CWE兼容程序和CWE-Compatible产品和服务。 2015年12月1日|分享这篇文章 天空朗讯公司宣布,其应用漏洞缓解工具,朗讯天空应用程序漏洞缓解(AVM),是CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。 2015年12月1日|分享这篇文章 CWE / CAPEC项目经理罗伯特·马丁将参加讨论小组名为“超越炒作:部署工业物联网在现实世界”的物联网西海岸论坛在圣地亚哥,加利福尼亚,美国12月10日,2015年。 “物联网联盟是一个全球性的非盈利,开放会员组织形成加快发展,采用,并广泛使用的相互连接的机器和设备,智能分析,人们在工作中。由美国电话电报公司、思科、通用电气、IBM和英特尔在2014年3月,工业网络联盟催化和坐标的重点和支持技术工业网络。” 参观CWE日历这和其他活动的信息。 CWE / CAPEC水煤浆在发布会上讨论的话题是“软件和供应链保证工作小组”会议于12月3日 2015年11月24日|分享这篇文章 CWE / CAPEC项目经理罗伯特·马丁将讨论的简报常见的弱点枚举(CWE™),常见的攻击模式枚举和分类(CAPEC™),常见的弱点评分系统(水煤浆™)题为“我们如何更好地利用评分系统(CVSS、水煤浆、3.0 CWE)”的2015年软件和供应链保证冬季工作组会议举行在麦克莱恩的斜方公司,弗吉尼亚州,美国12月3日2015年。事件本身运行12月1 - 3。 “联合组织在美国国土安全部(DHS),国防部(DoD),国家标准和技术研究院(NIST)和美国总务管理局(GSA),私事件季度会见私论坛会议在半年度的基础上在春天和秋天和私工作组(之间的会议论坛)在夏季和冬季。这些事件汇集利益相关者负责保护国家关键信息technologies-most的启用和由软件控制和供应链的影响。” 参观CWE日历这和其他活动的信息。 1产品从Suresoft技术现在注册为正式“CWE-Compatible” 2015年11月19日|分享这篇文章
一个额外的信息安全产品取得了横切的正式的最后阶段CWE兼容程序,现在正式”CWE-Compatible”。产品现在有资格使用CWE-Compatible产品/服务标志,和完成并审查”CWE兼容性需求评估”问卷发布为产品的一部分组织的清单CWE-Compatible产品和服务CWE网站页面。总共39产品迄今为止被认为是正式的。 以下产品已经注册为正式“CWE-Compatible”:
使用官方CWE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用SwA时为他们的企业、产品和服务的兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CWE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。 关于CWE的额外信息兼容性和审查列出的所有产品和服务,访问CWE兼容程序和CWE-Compatible产品和服务。 1产品从北京北大软件工程开发现在注册为正式“CWE-Compatible” 2015年11月19日|分享这篇文章
一个额外的信息安全产品取得了横切的正式的最后阶段CWE兼容程序,现在正式”CWE-Compatible”。产品现在有资格使用CWE-Compatible产品/服务标志,和完成并审查”CWE兼容性需求评估”问卷发布为产品的一部分组织的清单CWE-Compatible产品和服务CWE网站页面。总共39产品迄今为止被认为是正式的。 以下产品已经注册为正式“CWE-Compatible”:
使用官方CWE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用SwA时为他们的企业、产品和服务的兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CWE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。 关于CWE的额外信息兼容性和审查列出的所有产品和服务,访问CWE兼容程序和CWE-Compatible产品和服务。 2015年11月19日|分享这篇文章 代码Dx公司。宣布其软件漏洞评估工具,代码Dx Dx标准版,企业版和代码CWE-Compatible。关于这些和其他兼容产品的附加信息,访问CWE兼容性和有效性部分。 2015年11月19日|分享这篇文章 Suresoft技术公司。宣布,其基于代码自动检查工具,CodeScroll代码检查器,是CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。 2015年11月19日|分享这篇文章 常见的弱点枚举(CWE™)和常见的攻击模式枚举和分类(CAPEC™)在10月三个事件讨论的话题: 2015年10月27日,CWE / CAPEC项目经理罗伯特·马丁提出两个简报,讨论CWE和CAPEC题为“优先安全漏洞和集中测试”和“捕捉和交流保证”MISRA &安全最佳实践——PRQA秋季研讨会在密歇根州迪尔伯恩,美国。 2015年10月19日,CWE / CAPEC项目经理罗伯特·马丁提出讨论CWE的简报,CAPEC题为“优先安全漏洞和获得保证”开放组织支持无边界信息流动2015年10月19日,英国爱丁堡会议上。 最后,在2015年10月15日,CWE和CAPEC研讨会的讨论话题财团的软件质量(方案)题为“网络安全最新进展和新方案及安全标准CWE提出的“这是项目经理的方案及安全措施来检测软件中的网络安全问题,罗伯特·马丁。请参阅我们的文章”CWE方案中提到的新闻发布会上宣布新规范来衡量结构的软件质量“关于新方案及安全措施的附加信息。 参观CWE日历有关这些主题和其他事件的信息。 CWE的讨论话题“最新网络安全的发展和新方案及安全标准”研讨会于10月15日 2015年10月14日|分享这篇文章 CWE将一个讨论主题财团的软件质量(方案)网络研讨会于2015年10月15日,题为“网络安全最新进展和新方案及安全标准”,将由CWE项目经理/方案及安全措施的合著者检测软件中的网络安全问题,罗伯特·马丁。 从方案及网站:“网络安全是前面和中心CIO议程。在这次研讨会,我们将听到罗伯特•马丁共同弱点枚举(CWE)主任斜方和首席研究员方案及安全标准。新方案及安全措施是预测开发的应用程序源代码的脆弱性外部攻击。排名前25位的连续波的测量识别软件评估下,代表最普遍和经常利用的安全漏洞。参加这次研讨会,学习如何使用方案及安全标准自动检测网络安全漏洞和测量应用程序安全性。罗伯特·马丁还将提供一个概览的安全考虑景观和未来的项目方案,斜方和美国政府。” 注意:看到我们的文章“CWE方案中提到的新闻发布会上宣布新规范来衡量结构的软件质量“关于新方案及安全措施的附加信息。 的网络研讨会将在周四举行,2015年10月15日上午11点-旧咖啡,免费向公众开放,但需要注册。 CWE / CAPEC在发布会上讨论的话题的“开放组启用无边界信息流动”会议于10月19日 2015年10月14日|分享这篇文章 CWE / CAPEC项目经理罗伯特·马丁将讨论的简报常见的弱点枚举(CWE™)和常见的攻击模式枚举和分类(CAPEC™)题为“优先安全漏洞和获得保证”开放组织支持无边界信息流动2015年10月19日,英国爱丁堡会议上。 会议网站上说:“在这个演讲,我们将描述如何计算风险,包括各种失败的业务影响可能利用不同类型的漏洞共同弱点枚举(CWE)集合可以用来集中治理和缓解气候变化的努力为关键的软件在一个组织。虽然安全工具在这些活动中发挥作用,其他体系结构、设计和开发活动和评论还可以提供宝贵的见解的安全姿势组织的软件能力。在保证任务不会被规避,破坏,或不必要的风险通过攻击任何软件,提供关键任务功能需要一个集中的转变和集成多种评估收购整个生命周期的活动。” 参观CWE日历这和其他活动的信息。 CWE / CAPEC讨论的话题在两个简报“MISRA安全最佳实践研讨会”于10月27日 2015年10月14日|分享这篇文章 CWE / CAPEC项目经理罗伯特·马丁将讨论的两个简报常见的弱点枚举(CWE™)和常见的攻击模式枚举和分类(CAPEC™)题为“优先安全漏洞和集中测试”和“捕捉和交流保证”MISRA &安全最佳实践——PRQA秋季研讨会在密歇根州迪尔伯恩,2015年10月27日,美国。 根据会议网站:“这次会议将披露更多关于缺乏一个共同的衡量软件弱点限制了软件行业的能力访问和纠正可利用的软件缺陷。因此,组织如CWE CAPEC, (水煤浆]、[CWRAF)提供一致的和结构化机制优先保证对付最危险的弱点系统应有的功能和能力。” 参观CWE日历这和其他活动的信息。 1产品从LDRA现在注册为正式“CWE-Compatible” 2015年9月17日|分享这篇文章
一个额外的信息安全产品取得了横切的正式的最后阶段CWE兼容程序,现在正式”CWE-Compatible”。产品现在有资格使用CWE-Compatible产品/服务标志,和完成并审查”CWE兼容性需求评估”问卷发布为产品的一部分组织的清单CWE-Compatible产品和服务CWE网站页面。总共37产品迄今为止被认为是正式的。 以下产品现在注册为正式“CWE-Compatible”: 使用官方CWE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用SwA时为他们的企业、产品和服务的兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CWE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。 关于CWE的额外信息兼容性和审查列出的所有产品和服务,访问CWE兼容程序和CWE-Compatible产品和服务。 1产品从ToolsWatch现在注册为正式“CWE-Compatible” 2015年9月17日|分享这篇文章
一个额外的信息安全产品取得了横切的正式的最后阶段CWE兼容程序,现在正式”CWE-Compatible”。产品现在有资格使用CWE-Compatible产品/服务标志,和完成并审查”CWE兼容性需求评估”问卷发布为产品的一部分组织的清单CWE-Compatible产品和服务CWE网站页面。总共37产品迄今为止被认为是正式的。 以下产品现在注册为正式“CWE-Compatible”:
使用官方CWE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用SwA时为他们的企业、产品和服务的兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CWE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。 关于CWE的额外信息兼容性和审查列出的所有产品和服务,访问CWE兼容程序和CWE-Compatible产品和服务。 CWE方案中提到的新闻发布会上宣布新规范来衡量结构的软件质量 2015年9月17日|分享这篇文章 CWE提到在2015年9月15日的新闻稿的财团,软件质量(方案)题为“财团的软件质量宣布新规范来衡量结构的软件质量”。新闻稿的主要话题是方案宣布释放“新的测量规范基于检测可靠性的缺陷,安全,性能的软件应用程序的效率和可维护性。这些质量度量可以用来评估软件密集型系统的风险等来源非法侵入,中断、数据损坏、降解性能和过度复杂性。” CWE提到如下:“方案及措施由计数违反良好的架构和编码实践,严重到足以是修复的优先。例如,安全措施来源于前25名违反良好的编码实践如SQL注入、缓冲区溢出,跨站点脚本允许未经授权的入侵和数据盗窃。这个列表来自共同的弱点枚举(CWE)库是由斜方管理公司。manbetx客户端首页可靠性度量包含块空异常,未释放的资源,循环依赖和其他违规行为导致中断和缓慢的复苏时间。性能效率包括编码的弱点,比如昂贵的循环操作,un-indexed数据访问和未释放的内存,降低响应时间和过度使用资源。可维护性措施包括编码的弱点,比如过度耦合,死代码,和硬编码的文字过于昂贵,维护和增强defect-prone。” 此外,释放还宣布,方案将于10月15日举办研讨会,2015年由罗伯特·马丁,CWE项目经理/方案及安全措施的合著者检测软件中的网络安全问题,题为“网络安全最新进展和新方案及安全标准”。网络研讨会免费向公众开放,但登记要求是必需的。 2015年9月17日|分享这篇文章 CWE提到在2015年7月30日,文章题为“商业代码符合安全标准比开放源代码“安全周。本文的主题是Coverity的释放,Inc .) 2014年“Coverity扫描开源报告。”CWEis mentioned as follows: "Based on the analysis of more than 10 billion lines of code from thousands of open source and commercial products, experts have determined that while open source projects are doing a better job at addressing quality and security issues, enterprises take the lead when it comes to complying with security standards such as OWASP (Open Web Application Security Project) Top 10 and CWE (Common Weakness Enumeration) 25." 2015年9月17日|分享这篇文章 CWE提到在2015年7月30日,文章题为“商业代码符合安全标准比开放源代码“网络安全。本文的主题是Coverity的释放,Inc .) 2014年“Coverity扫描开源报告。”CWEis mentioned as follows: "This year the report also compared security compliance standards such as OWASP Top 10 and CWE 25, and found that commercial code is more compliant with these standards than open source code." CWE新闻稿中提到关于“Coverity扫描2014年开源报告” 2015年9月17日|分享这篇文章 CWE提到在2015年7月29日,由Coverity新闻稿,公司名为“Coverity扫描开源报告显示商业代码符合安全标准比开放源代码”。新闻稿的主要话题是出版的年度“Coverity扫描2014年开源报告。” CWE提到如下:“在新的Coverity详细扫描开源报告,近152000个缺陷是固定仅在2014年,超过总数量的缺陷被发现在前面的服务的历史。基于静态分析缺陷密度,开放源代码超过商业代码质量在2013年的报告。在2014年这一趋势继续下去;然而,今年的报告还比较安全合规标准,如OWASP(开放Web应用程序安全性项目)前十和CWE(常见的弱点枚举)25日,发现商业代码符合这些标准比开放源代码。” 2015年9月17日|分享这篇文章 CWE提到在2015年7月29日,文章题为“美国OPM违反教导我们关于加强我们的安全系统“在信息时代。CWE节中提到的题为“保护网络和关键应用程序”列表,作者建议的预防措施:“最后,确保Web应用程序开发与OWASP和san / CWE安全编码指南”。 2015年9月17日|分享这篇文章 CWE提到在2015年7月27日,由Waratek新闻稿,公司名为“CRN的名字Waratek最酷的安全启动2015”。释放的主要话题是:“CRN,这对新闻频道的主要来源,将其命名为一个最酷的安全启动了2015年。万博下载包CRN Waratek认可的安全容器技术,创建了一个“防弹背心”部署的应用程序内部或者在云环境中。” CWE在新闻稿中提到如下:“上个月,Waratek宣布,它已经发展的能力为其锉产品消费CWE科协(常见的弱点枚举)报告工具,像惠普巩固,Veracode, Checkmarx和其他人立即生成规则,解决应用程序安全漏洞。” 2015年9月17日|分享这篇文章 CWE提到在2015年6月17日,由Waratek新闻稿,公司名为“Waratek集成自动化与运行时应用程序安全漏洞修复自我保护。”释放的主要话题是Waratek添加自动化为Java运行时应用程序安全漏洞修复其AppSecurity自我保护(锉)产品。 CWE在新闻稿中提到如下:“Waratek发展消费CWE的能力(常见的弱点枚举)报告形式科协与DAST工具,包括惠普巩固Veracode, Checkmarx和其他人立即生成规则,解决应用程序安全漏洞被无和OWASP。这完全自动化的工作流可以立即保护生产应用程序无需任何人工干预或配置。它也可以集成到软件开发生命周期”。 2015年9月17日|分享这篇文章 CWE提到6月7日,2015年新闻稿IAR系统名为“IAR系统扩展了行业领先的瑞萨RX和静态代码分析工具。”的主题发布2.08版本的IAR嵌入式工作台RX补充道“集成通过C-STAT静态代码分析,这使得RX开发者可以完全控制他们的代码,并使公司节省宝贵的时间和金钱在他们的开发项目。” CWE在新闻稿中提到如下:“C-STAT是一个功能强大的静态分析工具,检查遵守规则定义的编码标准MISRA - C: 2004年,MISRA c++: 2008和MISRA - C: 2012年,以及数以百计的规则基础上,例如,CWE(常见的弱点枚举)和证书C / c++安全的编码标准。用户可以很容易地选择哪些规则集,哪些个人规则检查代码,并提供分析结果直接在IAR嵌入式工作台IDE。” 2015年9月17日|分享这篇文章 CWE提到在2015年4月20日,文章题为“国土安全部:大多数组织需要改进管理安全风险“黑暗的阅读。本文的主题是“政府机构和私营部门的组织必须更加重视软件分析、测试和生命周期支持减轻威胁利用已知的漏洞和新途径打开使用开源和重用软件组件,根据美国国土安全部(DHS)。” CWE节中提到,题为“第三方代码和插件是web应用程序的弱点,”乔·哲伯克在评论主任软件和供应链保证国土安全部,如下:“SQL注入和Cross-Scripting构成了更频繁和危险的攻击向量。IT经理正在部署防火墙,入侵预防系统和非军事区,但仍然想知道为什么他们的系统损害。他们被利用在企业的“软肋”——应用程序软件。人知道cross-scripting和SQL注入攻击,但不明白它。“有人在你的团队应该知道(这些攻击)做什么和他们试图利用“哲伯克说。这些攻击,他们的事迹被称为共同弱点枚举(CWE)。以及如何抵御它们的攻击可以在找到免费的在线社区的字典由斜方corp .)和由国土安全部。” 2015年9月17日|分享这篇文章 CWE提到在2015年3月27日,文章题为“软件作为一个过程“电子说明符。本文的主题是“今天的软件产品是由于许多供应商,供应商,开源库和遗留代码一起在混合不同的流程,标准和文化。每个输入提供了一个机会介绍安全、安全、或绩效的错误。”"Whether it's the shift towards agile, continuous integration, or the adoption of new standards, embracing new ways of developing software hits organisations where it counts: the delivered product." CWE当作者提到:“一个方法被证明是成功的减轻安全风险是使用自动化代码分析寻找潜在的缺陷。酸豆琼斯Namcook分析发现,没有工具,如静态代码分析(SCA),开发人员有效地发现缺陷不到50%在他们自己的软件。SCA是善于理解代码和行为模式,跨多个编译单元和开发者,揭示安全漏洞如缓冲区溢出、可疑的输入数据和用户输入。更复杂的SCA工具还可以比较代码对常见的安全标准,OWASP和CWE等,确定覆盖面的或生成合规报告。而不是说服团队花更多的精力安全性测试,使用工具来减少对你和你的供应商的努力。” 2015年9月17日|分享这篇文章 CWE提到在2015年3月24日,文章题为“5步骤确保嵌入式软件“在嵌入式计算设计。 CWE首次提及如下:“这标准团体,像财团的软件质量(方案),斜方共同弱点枚举(CWE),ISO 9000和ISO 25000发布指导方针和软件质量标准。方案发表了自动化质量措施,安全、可靠性、效率、性能和可维护性。这些措施提供一些特定的属性,应该作为证据,嵌入式系统可能需要履行业务/任务功能。在检查嵌入式系统的状态,很明显,安全应该改造。” CWE再次提到了一段名为“遵循标准,”如下:“方案发表了一个安全标准,旨在确定排名前25位的安全漏洞的应用软件被称为由斜方的维护常见的弱点枚举(CWE)。连续波是可测集的项可以作为证据弹性,安全,安全。代码分析等投可以选择这些的复杂环境。开发人员应该保持跟外界的联系与这些重要标准。” 3产品SonarSource现在注册为正式“CWE-Compatible” 2015年8月31日|分享这篇文章
三个额外的信息安全产品取得了横切的正式的最后阶段CWE兼容程序,现在正式”CWE-Compatible”。产品现在有资格使用CWE-Compatible产品/服务标志,和完成并审查”CWE兼容性需求评估”问卷发布为产品的一部分组织的清单CWE-Compatible产品和服务CWE网站页面。总共35产品迄今为止被认为是正式的。 以下产品已经注册为正式“CWE-Compatible”:
使用官方CWE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用SwA时为他们的企业、产品和服务的兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CWE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。 关于CWE的额外信息兼容性和审查列出的所有产品和服务,访问CWE兼容程序和CWE-Compatible产品和服务。 2产品LDRA现在注册为正式“CWE-Compatible” 2015年8月31日|分享这篇文章
两个额外的信息安全产品取得了横切的正式的最后阶段CWE兼容程序,现在正式”CWE-Compatible”。产品现在有资格使用CWE-Compatible产品/服务标志,和完成并审查”CWE兼容性需求评估”问卷发布为产品的一部分组织的清单CWE-Compatible产品和服务CWE网站页面。总共35产品迄今为止被认为是正式的。 以下产品已经注册为正式“CWE-Compatible”:
使用官方CWE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用SwA时为他们的企业、产品和服务的兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CWE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。 关于CWE的额外信息兼容性和审查列出的所有产品和服务,访问CWE兼容程序和CWE-Compatible产品和服务。 1产品从MathWorks现在注册为正式“CWE-Compatible” 2015年8月31日|分享这篇文章
一个额外的信息安全产品取得了横切的正式的最后阶段CWE兼容程序,现在正式”CWE-Compatible”。产品现在有资格使用CWE-Compatible产品/服务标志,和完成并审查”CWE兼容性需求评估”问卷发布为产品的一部分组织的清单CWE-Compatible产品和服务CWE网站页面。总共35产品迄今为止被认为是正式的。 以下产品现在注册为正式“CWE-Compatible”:
使用官方CWE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用SwA时为他们的企业、产品和服务的兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CWE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。 关于CWE的额外信息兼容性和审查列出的所有产品和服务,访问CWE兼容程序和CWE-Compatible产品和服务。 1产品从GTONE现在注册为正式“CWE-Compatible” 2015年8月31日|分享这篇文章
一个额外的信息安全产品取得了横切的正式的最后阶段CWE兼容程序现在正式”CWE-Compatible”。产品现在有资格使用CWE-Compatible产品/服务标志,和完成并审查”CWE兼容性需求评估”问卷发布为产品的一部分组织的清单CWE-Compatible产品和服务CWE网站页面。总共35产品迄今为止被认为是正式的。 关于CWE的额外信息兼容性和审查列出的所有产品和服务,访问CWE兼容程序和CWE-Compatible产品和服务。
使用官方CWE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用SwA时为他们的企业、产品和服务的兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CWE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。 关于CWE的额外信息兼容性和审查列出的所有产品和服务,访问CWE兼容程序和CWE-Compatible产品和服务。 2015年8月31日|分享这篇文章 ToolsWatch宣布其API和漏洞数据库社区,vFeed CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。 2015年8月31日|分享这篇文章 AdaCore宣布其自动代码审查和验证工具,CodePeer CWE-Compatible。额外的信息和其他兼容的产品,参观CWE兼容性和有效性部分。
更多的信息是可用的,请选择一个不同的过滤器。
|
