万博下载包新闻和事件- 2019存档右键单击并将URL复制分享的一篇文章。发送反馈页面cwe@mitre.org。 CWE名单扩大到包括硬件的弱点 2019年10月10日|分享这篇文章 为了扩大的范围CWE列表从单纯软件弱点,我们感到兴奋宣布团队已经开始探索整合硬件弱点CWE语料库。这是我们已经考虑了几年,和我们的目标进一步增长CWE安全共同体作为一种宝贵的资源,时间似乎正确的重新审视,让它发生。 硬件安全问题(如LoJax, Rowhammer,崩溃/幽灵)对企业越来越重要的问题,不,工业控制系统和物联网,从汽车和可穿戴技术和医疗器械。至关重要的是了解不同类型的弱点在这个空间,这样硬件设计者可以开始理解并采取行动对这些类型的缺陷。 我们希望能在这种环境中工作与社区积极寻找机会参与这个领域的专家来帮助我们理解今天常见的硬件类型的弱点。 请让我们知道如果你想参与通过联系我们CWE的研究邮件列表,CWE LinkedIn页面,cwecapec在Twitter上,或直接cwe@mitre.org。我们期待着你! 2019年“CWE前25”收到广泛的新闻媒体报道万博下载包 2019年10月4日|分享这篇文章 最近发布的“2019 CWE最危险的软件错误”名单收到了广泛的全球媒体报道,来自社区的反馈。我们感谢所有你的反馈关于新CWE的社区前25名。 万博下载包新闻媒体的文章,包括面试和引用CWE团队: 斜方发布2019年排名前25位的软件缺陷列表黑暗的阅读:
斜方名称2019最危险的软件错误Infosecurity杂志:
其他文章的部分名单,来自世界各地的2019 CWE前25: 这些软件漏洞上斜方最危险的列表,ZD净 CWE前25(2019)——的最危险的软件弱点列表开发人员需要关注,GBHackers 斜方发布2019年排名前25位的软件缺陷列表黑客新闻万博下载包 内存错误前斜接的“最危险”列表、安全大道 这些软件漏洞上斜方最危险的列表,突发新闻万博下载包 列表最危险的软件缺陷,开发人员需要关注- 2019 CWE前25名IT安全新闻万博下载包 透露:25个最危险的软件缺陷类型- mem腐败,现在太热了世界新闻网络万博下载包 Nueva lista de vulnerabilidad缩写(横切CWE 25),Segu信息 没有惊喜在前25名中最危险的软件错误赤裸裸的安全 斜接的前25位最危险的软件错误,信息安全 斜接2019 CWE最危险的软件错误列表释放Packt中心 2019 CWE最危险的软件错误,Mag-Securs 横切publiceert前25名范gevaarlijkste softwarefouten,Security.nl 是儿子25 debilidades de las软件mas之一,红色区域 Топ25самыхопасныхуязвимостей2019года,Securitylab.ru 波沙,Bos bug: Das信德gefahrlichsten死去,在里面 请发送任何反馈关于我们的新CWE前25名CWE的研究邮件列表,CWE LinkedIn页面,cwecapec在Twitter上,或直接cwe@mitre.org。 3.4.1 CWE版本更新发布 2019年9月23日|分享这篇文章 3.4.1 CWE版本已张贴在CWE列表页面地址的监督社区发现的最初版本。我们感谢所有你的反馈关于新社区CWE前25名。 这小更新版本增加了一个父类CWE视图1003:为简化映射弱点发表的漏洞看来,这cwe - 667不当锁定现在是一个孩子的吗cwe - 662不同步。一个详细的报告可列出具体3.4.1 3.4版本和版本之间的更改。 未来的更新将会注意,在CWE的研究电子邮件讨论列表,CWE LinkedIn页面,在@cwecapec在推特上。请发送任何评论或问题cwe@mitre.org。 CWE 3.4版本 2019年9月19日|分享这篇文章 CWE 3.4版本已张贴在CWE列表页面添加支持最近发布的“2019 CWE最危险的软件错误”列表中。 一个详细的报告可列出具体版本3.3和3.4版本之间的更改。 主要变化: CWE 3.4包括1新视图,CWE 1200: 2019 CWE弱点最危险的软件错误支持的发布2019年CWE前25名。总之,有50个主要变化的关系。没有模式变化。 简介: 变化的新版本包括以下:
看到变化的完整列表https://cwe.mitre.org/data/reports/diff_reports/v3.3_v3.4.html。 未来的更新将会注意,在CWE的研究电子邮件讨论列表,CWE LinkedIn页面,在@cwecapec在推特上。请发送任何评论或问题cwe@mitre.org。 2019”CWE排名前25位的“现在可用! 2019年9月17日|分享这篇文章 官方版的“2019 CWE最危险的软件错误”,最广泛的示范列表和关键性的弱点可以导致严重的漏洞的软件,现在CWE网站上可用。 中列出的弱点CWE前25名往往容易发现和利用。他们是危险的,因为他们会经常让对手完全接管执行软件,窃取数据,或者防止软件工作。CWE的前25名可以使用软件开发人员,软件测试人员,软件的客户,软件项目经理,安全研究人员和教育工作者提供洞察一些最常见的安全威胁在软件行业。 利用实际数据 2019年创建列表,CWE团队使用一种数据驱动的方法,利用出版常见的漏洞和风险敞口(CVE®)数据和相关CWE映射发现在国家标准与技术研究所(NIST)国家漏洞数据库(NVD),以及普通危险得分系统(CVSS)分数与每一个cf。得分公式被应用于确定每个弱点的患病率和危险水平的礼物。数据驱动的方法可以作为一个可重复的,照本宣科的过程来生成一个CWE定期排名前25位的列表以最小的努力。 2019年CWE前25位利用NVD数据从2017年到2018年,由大约二万五千个cf。CWE团队开发了一个计分公式计算缺陷的等级次序。CWE的计分公式结合频率是一个漏洞的根本原因与预期严重的剥削。在这两种情况下,频率和严重程度都是归一化相对于最小值和最大值。 这种新方法的详细信息,包括方法论、排名,得分,和精致的映射,请访问CWE前25名页面。 未来版本和反馈的欢迎 前进,我们的目标是更新CWE前25每年使用的描述的新方法CWE前25名页面。 请向我们发送任何反馈CWE的研究电子邮件讨论列表,@cwecapec在推特上,CWE LinkedIn页面,或直接cwe@mitre.org。我们期待着你! “2019 CWE前25”草案 2019年9月12日|分享这篇文章 草案版本的“2019 CWE最危险的软件错误”现在可以在我们的使用通知消息。这些排名可能会改变最终版本之前,当我们重新评估确定常见的漏洞和风险敞口(CVE®)< - > CWE映射。 新方法 概述的新方法用于计算CWE的这个新版本前25位,看到“2019年更新的“CWE前25”正在进行”。简而言之,我们把CWE-related数据直接从美国国家漏洞数据库(NVD)和使用频率和平均普通危险得分系统(CVSS)分数决定一个排序。这种方法的主要优点是,CWE排名前25位的将是一个客观的看看我们实际上看到的现实世界。 精制映射为2019年释放 2019年CWE前25,漏洞的日历年使用2017年和2018年。CWE团队工作很努力在过去的几个月里纠正几千mis-mappedCVE条目和我们共事国家标准与技术研究院(NIST)来帮助改善的映射新报告的漏洞与更新的CWE视图1003:为简化映射弱点发表的漏洞视图。 我们将继续我们的努力来评估这些映射在来年进一步改善提前2020 CWE的前25位。对于即将发布的2019年,我们将提供一些解释几个不一致等原因cwe - 119:不当的操作限制的范围内一个内存缓冲区在列表中,连同它的一些孩子。简而言之,这是一个信号,我们需要改善目前正在做的映射,当足够的细节。也是同样的道理CWE-20:不适当的输入验证和cwe - 200:信息风险,两者都是非常广泛和更具体的连续波。 反馈鼓励! 我们期待解决任何问题,以及你可能听到任何的想法和评论。请向我们发送任何反馈CWE的研究电子邮件讨论列表,@cwecapec在推特上,CWE LinkedIn页面,或直接cwe@mitre.org。 2019年更新的“CWE前25”正在进行 2019年8月7日|分享这篇文章 CWE团队目前正在向生成和发布一个新的2019年发布的“CWE最危险的软件错误。” 这最初的声明之后,下一步将在未来几周发布一个草案为社区审查和评论。一旦这些评论审核和注册,我们将正式发布的新排名前25位的社区。 排名前25位的新方法 在以前的版本中,排名前25位的列表是通过聚合构建调查结果从一个广泛的选择的组织,并通过开发人员、安全分析师,研究人员和供应商。受访者被要求提名的弱点,他们被认为是最普遍和重要,然后自定义的一部分常见的弱点评分系统(水煤浆™)被用来确定一个排名。有许多积极的在这种方法中,但它也是劳动密集型和主观。 对于即将到来的前25位,我们使用的是更严格的和统计过程实际报告漏洞利用信息来确定给定的患病率和危险的弱点。CWE团队将使用数据直接从弱点美国国家漏洞数据库(NVD)为连续波计算指标。尽管这种方法引入了偏差只通过分析报告的漏洞,可能会排除一些软件和其他数据的宽度,CWE团队认为,这将导致更可重复的、精确的前25名的列表。 评分新前25名 我们的评分过程中有两个组件,将结合来确定CWE的总分。第一个组件是CWE的频率是一个漏洞的根本原因。第二个组件是一个软弱的平均普通危险得分系统(CVSS)分,这是为了确定总体严重程度的一个弱点。我们确定一个CWE的平均CVSS分数计算的所有CVSS分数的总和常见的漏洞和风险敞口(CVE®)条目映射到一个给定CWE,然后这个总和除以CWE CVE条目的总数。这两个组件标准化相乘。 这个过程表示如下: W =所有连续波 CWE团队仍在审查这个公式,并且它可能会改变在新的排名前25位的列表之前出版。 映射到CVE条目 我们面临的一个挑战是解决很多CVE条目目前映射到CWE类别。类别不技术上的弱点,因此任何现有的映射到它们被认为是不正确的。因此,我们已经与NVD协调,完成一项“映射分析”在这些CVE条目将它们映射到更精确的连续波在较低的抽象级别。 2019年6月20日,同理,我们发表的最近的小版本发布,CWE 3.3版本,其中包括一个新的CWE视图:“CWE视图1003:为简化映射弱点发表的漏洞”。展望未来,新报告的漏洞将映射到视图中的条目1003。如果随着时间的推移脆弱性数据表明,某些弱点不是当前视图的一部分,1003年更频繁地发生在野外,认为1003年将发展需要适应这些新的趋势。 CWE排名前25位的草案即将到来 这是一项大的任务,但我们希望它能导致一个可重复的和更精确的排名前25位的列表,以及推动讨论更好的方式接近CVE < - > CWE映射在未来。 如上所述,下一步将在未来几周发布一个草案为社区审查和评论,一旦这些评论进行了综述和注册,我们将正式发布的新排名前25位的社区。 请向我们发送任何最初的反馈CWE的研究电子邮件讨论列表,@cwecapec在推特上,CWE LinkedIn页面,或直接cwe@mitre.org。 CWE发射“@cwecapec”Twitter 2019年8月7日|分享这篇文章 请遵循我们的新的Twitter帐户https://twitter.com/cwecapecCWE的最新新闻和公告。万博下载包 CWE 3.3版本 2019年6月20日|分享这篇文章 CWE 3.3版本已经发布在CWE列表页面。一个详细的报告可列出具体版本3.2和3.3版本之间的更改。 主要变化: CWE 3.3 1新观点,1 2新条目更新视图,和2弃用条目。238年所有条目有重大变化的关系,引用名称,字段,和描述。 主要变化包括:(1)增加1新视图,cwe - 1178:解决的弱点SEI CERT Perl编码标准标识Perl的弱点,可能全部或部分阻止遵循SEI CERT Perl编码标准;(2)添加8新类别相关cwe - 1178;(2)更新cwe - 1003:为简化映射弱点发表的漏洞看来,这可能是用于分类潜在的弱点在处理公共来源,第三方的漏洞信息,等美国国家漏洞数据库(NVD);并添加2个新的弱点有关cwe - 1003,cwe - 1187:使用未初始化的资源,这发生在一个资源没有被正确地初始化和软件可能意外的行为,和cwe - 1188:不安全的默认初始化资源,发生在软件初始化或设置一个资源旨在改变的一个默认管理员,但默认是不安全的。 没有模式变化。 简介: 变化的新版本包括以下:
看到变化的完整列表https://cwe.mitre.org/data/reports/diff_reports/v3.2_v3.3.html。 未来的更新将会注意到这里的CWE的研究电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。 CWE军事嵌入式系统是主要话题的文章 2019年6月20日|分享这篇文章 CWE的主要话题是2019年3月的一篇文章,题为“常见的弱点枚举(CWE)定义了关键任务应用程序的网络安全漏洞“在军事上的嵌入式系统。在这篇文章中,作者描述了CWE的目的和可能的使用CWE-Compatible产品,它的连接常见的漏洞和风险敞口(CVE®)和讨论的例子CWE列表。 作者声明:“枚举(CWE的共同弱点http://cwe.mitre.org)已成为一个事实上的参考资源,每一个安全关键任务的嵌入式系统的开发人员。”"[CWE] has made an important contribution to the overall process of developing more secure and robust software-intensive systems. It provides a common vocabulary that helps internal communications within software development organizations, as well as allowing users to understand and compare the capabilities of tools designed for scanning and analyzing the source code for mission-critical software. Designers will find that including CWE-compatible features into static-analysis and formal method toolsets enables users to readily understand the kinds of security and robustness issues that can be eliminated." CWE 3.2版本 2019年1月3日|分享这篇文章 CWE 3.2版本已经发布在CWE列表页面。一个详细的报告可列出具体版本3.1和3.2版本之间的更改。 主要的变化 CWE 3.2和1 137个新条目弃用。534年所有条目有重要的变化,主要是由于关系变化,引用,名称和描述。 主要变化包括:(1)增加89个新条目相关的质量问题,只有间接引入脆弱性和/或更容易使漏洞更难以检测或减轻cwe - 1040:质量缺陷与间接安全影响视图);(2)添加1新的弱点,cwe - 1173:验证框架的使用不当,详细描述了一个可用的输入验证框架的使用不当;(3)添加1新视图,cwe - 1128:方案及质量度量(2016)软件质量,映射到该财团(方案)自动化质量特征在2016年公布的措施;和(4)更新视图和类别相关软件工程研究所(SEI)计算机紧急响应小组(CERT)编码标准。 简介: 变化的新版本包括以下:
看到变化的完整列表https://cwe.mitre.org/data/reports/diff_reports/v3.1_v3.2.html。 未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请发送任何评论或问题cwe@mitre.org。
更多的信息是可用的,请选择一个不同的过滤器。
|
