万博下载包新闻和事件- 2020存档右键单击并将URL复制分享的一篇文章。发送反馈页面cwe@mitre.org。 CWE 4.3版本 2020年12月10日|分享这篇文章 CWE 4.3版本已张贴在CWE列表页面添加20个新的吗硬件设计缺陷;6新软件开发的弱点由社区成员提交;1新软件视图,cwe - 1340:方案及数据保护措施;等更新。一个详细的报告可列出具体版本4.2和4.3版本之间的更改。 主要的变化 CWE 4.3包括以下更新: 1)二十(20)新硬件的弱点:
2)六(6)新软件的缺点:
3)加1新软件视图:cwe - 1340:方案及数据保护措施。 3)更新111现有条目添加关系26 CWE 4.2版本中添加新的弱点。 简介: 变化的新版本包括以下:
看到变化的完整列表https://cwe.mitre.org/data/reports/diff_reports/v4.2_v4.3.html。 未来的更新将会注意,在CWE的研究电子邮件讨论列表,CWE LinkedIn页面,在@cwecapec在推特上。请联系我们与任何评论或问题。 CWE / CAPEC董事会电话会议纪要和会议11月17日 2020年11月30日|分享这篇文章 的CWE / CAPEC董事会2020年11月17日举行一个电话会议。读了会议纪要。 使用CWE硬件鼓励“建立一个特殊利益集团常见硬件上的弱点”文章半导体工程 2020年11月18日|分享这篇文章 使用CWE的硬件2020年11月18日,鼓励篇题为“建立一个特殊利益群体常见硬件上的弱点“在半导体工程。作者首先论述了创建CWE / CAPEC董事会之前宣传的重要性硬件CWE特殊利益集团(HW CWE团体):“HW CWE团体建立了作为研究者和论坛的代表组织操作在硬件设计、制造、和安全与一个共同的目标。目标是分享彼此的意见和专业知识和利用的经验支持CWE的持续增长和采用共同的语言来定义硬件的安全漏洞。与超过40代表在商业和政府包括英伟达、晶格半导体、Accellera,英特尔,巴特尔,博世,BAE, Synopsys对此和龟岛逻辑等等,HW CWE团体是一个辉煌的开始。“其他硬件相关工作进行了讨论。 CWE程序建立硬件CWE特殊利益集团(HW CWE团体) 2020年11月18日|分享这篇文章 CWE程序建立了一个硬件CWE特殊利益集团(HW CWE团体)为研究人员和作为一个论坛的代表组织操作在硬件设计、制造、和安全互动,分享意见和专业知识,利用彼此的经验支持持续增长和采用CWE作为一种共同的语言来定义硬件的安全漏洞。 HW CWE团体的目的是建立一个利益相关者社区讨论HW CWE内容和进一步探索跨组织合作的机会。成员将与对方通过开放和协作讨论提供关键输入域覆盖,覆盖目标和内容层次结构。 谁应该参加? 硬件人员、设计师、安全专家和企业代表oem /系统集成商和工具/基础设施供应商。经理也欢迎,尽管它是首选,伴随着技术人员。 会议 会议初步将发生在每个月的4日周五东部时间下午12:30 - 1:30。会议将于微软的团队。随着团体,代表一个组织可能被限制。 典型的议程:
如何加入 参加,请联系我们报名参加下一个会议。 CWE博客文章侧重于减少昂贵的网络风险沟通和减轻的弱点 2020年11月17日|分享这篇文章 CWE团队发布了一个“CWE-23:星巴克错过一个弱点,几乎失去了超过50%的盈利2019 (b) 15美元“博客篇关于通过沟通,减少潜在的昂贵的网络风险和减轻,弱点。 读了完整的文章CWE / CAPEC博客媒介。 CWE博客文章关注为什么“修复漏洞成本100 x更多如果你不明白疲软” 2020年11月12日|分享这篇文章 CWE团队发布了一个“修复漏洞成本100 x更多如果你不理解的弱点“博客文章的价值包括弱点信息漏洞描述。 读了完整的文章CWE / CAPEC博客媒介。 CWE博客文章主要关注数据分析了如何“2020”CWE前25 2020年10月29日|分享这篇文章 CWE团队发布了一个“2020年CWE排名前25位的分析“博客文章,提供洞察数据分析与计算有关的活动2020年CWE排名前25位的列表。 这篇文章的目的是补充之前在2020年出版的方法论CWE CWE网站排名前25位的页面,并提供进一步的透明度为计算最终名单背后的技术过程。 读了完整的文章CWE / CAPEC博客媒介。 鼓励使用CWE硬件篇关于夺旗(CTF)比赛EE 2020年9月30日|分享这篇文章 使用CWE的硬件2020年9月29日,鼓励篇题为“夺旗比赛需要包括硬件“EE。 CWE首先是一节中提到的题为“关注硬件安全”中,作者指出,行业需要促进对安全漏洞通常与硬件设计以减少有关。CWE提到如下:“这种类型的行业努力的一个很好的例子是社区驱动的硬件常见弱点枚举(CWE),由斜方维护。最新版本,CWE 4.2,这个行业现在有75年访问目录通常忽略硬件缺陷类型组织12岁以下类别。每个硬件缺陷类型说明了常见的安全问题与一个或多个例子,紧随其后的是策略如何识别和减轻问题。推出全行业、标准化系统枚举帮助铺平道路更好的硬件安全,但是有很多我们可以做的。” 作者描述了包括CWE硬件弱点在周大福比赛可以“帮助起决定性作用在建筑行业意识,并创建一个心态和技巧关于硬件安全弱点。” 后提供的一个例子cw硬件可以被纳入一个周大福,作者还提到了CWE本文的结论:“建立更好的硬件安全实践和能力是一个必须在今天的威胁环境……与建筑相关的固有挑战健壮、安全的硬件需求更多的专注和更强的协作方整个行业和学术界。硬件CWE作为社区驱动的底漆,促进了系统分析的硬件漏洞模式、检测技术和缓解方法……通过一个有趣的和教育媒介,周大福参与者亲身体验硬件设计面临的关键挑战社会和走不仅与新的技能,但灵感参与努力帮助更广泛的社区”。 2020年“CWE前25”收到广泛的新闻媒体报道万博下载包 2020年9月30日|分享这篇文章 最近发布的“2020 CWE最危险的软件错误”名单收到了广泛的全球媒体报道,来自社区的反馈。我们感谢所有你的反馈关于新CWE的社区前25名。 下面是一个部分的文章列表来自世界各地2020 CWE前25: 2020年CWE最危险的软件缺陷、安全的动物园 CWE: XSS和界外写2020年最危险的软件缺陷、软件开发时间 斜方股票今年的前25位最危险的软件缺陷哔哔声电脑 跨站点脚本顶部CWE最危险的列表,InfoSecurity 这些都是25 2020年最严重的漏洞,红色区域 确定最危险的常见的软件和硬件的弱点和漏洞——CWE前25名(2020年版)Tripwire安全状态的博客 斜方释放2020 CWE最危险的软件缺陷Synopsys对此软件完整性的博客 安全专家Re:斜方发布2020年最危险的软件缺陷列表,信息安全 请发送任何反馈关于我们的新CWE前25名CWE的研究邮件列表,CWE LinkedIn页面,@CWECAPEC在Twitter上,或联系我们直接。 CWE / CAPEC董事会电话会议纪要和会议9月14日 2020年9月30日|分享这篇文章 的CWE / CAPEC董事会2020年9月14日举行电话会议会议。读了会议纪要。 CWE / CAPEC有一个新的博客中! 2020年9月1日|分享这篇文章
我们的博客文章的实验: 我们鼓励您与我们有关这些主题和未来岗位。请联系我们与任何建议未来博客的主题。我们期待着你! 2020”CWE排名前25位的“现在可用! 2020年8月20日|分享这篇文章 官方版的“2020 CWE最危险软件的弱点”,最广泛的示范列表和关键性的弱点可以导致严重的漏洞的软件,现在CWE网站上可用。 这些弱点是危险的,因为他们往往容易发现,开发,和能让对手完全接管一个系统,窃取数据,或者阻止应用程序工作。CWE前25是一种宝贵的社会资源,可以帮助开发人员、测试人员,和用户,以及项目经理,安全研究人员和教育工作者提供洞察最严重和当前安全弱点。 是什么改变了 2019年和2020年之间的主要区别CWE排名前25位的列表是增加过渡到更具体的弱点而不是抽象类级别的弱点。虽然这些类级别的弱点在列表中仍然存在,他们已经在排名。这个运动预计将继续在未来几年随着社区改善其映射到更具体的弱点。例如,类级别的弱点cwe - 119:不当的操作限制的范围内一个内存缓冲区,CWE-20:不适当的输入验证,cwe - 200:暴露敏感信息的未经授权的演员每个向下移动的斑点;而其他一些更为特定的弱点cwe - 79:不当中和在Web页面生成的输入,cwe - 787:界外写和cwe - 125:禁止入内的阅读移动取而代之。和随后的未来运动,这种变化将大大受益用户试图理解实际问题,威胁到今天的系统。 利用实际数据 2020年创建列表,CWE团队使用一种数据驱动的方法,利用出版常见的漏洞和风险敞口(CVE®)数据和相关CWE映射发现在国家标准与技术研究所(NIST)国家漏洞数据库(NVD),以及普通危险得分系统(CVSS)分数与每一个cf。得分公式被应用于确定每个弱点的患病率和危险水平的礼物。 2020年CWE前25位利用NVD数据从2018年到2019年,由大约27000个cf与弱点。计分公式用于计算排名的顺序的弱点相结合的频率CWE的脆弱性的根本原因是预计其剥削的严重性。在这两种情况下,频率和严重程度都是归一化相对于最小值和最大值。 更详细的信息包括方法论、排名,得分,和精致的映射,请访问CWE前25名页面。 欢迎反馈 请发送任何反馈或问题CWE的研究电子邮件讨论列表,@cwecapec在推特上,CWE LinkedIn页面,或联系我们直接。 CWE 4.2版本 2020年8月20日|分享这篇文章 CWE 4.2版本已张贴在CWE列表页面添加支持最近发布的“2020 CWE最危险软件的弱点”列表等更新。 一个详细的报告可列出具体版本4.1和4.2版本之间的更改。 主要变化: CWE 4.2包括添加2个新的视图,一个支持的发布2020年CWE前25名和财团的其他信息和软件质量(方案)自动化代码质量的措施2020年发布;1新软件的弱点;和15个新硬件的弱点。此外,在整个语料库有259改变的关系。没有模式变化。 两个新观点补充道: 一个新软件的弱点补充道: 15个新硬件的弱点补充道:
简介: 变化的新版本包括以下:
看到变化的完整列表https://cwe.mitre.org/data/reports/diff_reports/v4.1_v4.2.html。 未来的更新将会注意,在CWE的研究电子邮件讨论列表,CWE LinkedIn页面,在@cwecapec在推特上。请联系我们与任何评论或问题。 CWE / CAPEC董事会电话会议纪要和会议在8月4 & 6现在可用 2020年8月17日|分享这篇文章 的CWE / CAPEC董事会8月4日和6日举行了电话会议会议2020。读了会议纪要。 新CWE / CAPEC董事会包括它和网络安全社区的代表 2020年7月20日|分享这篇文章 CWE已经建立了一个新的CWE / CAPEC董事会由商业硬件和软件供应商的代表、学术界、政府部门和机构,和其他著名安全专家将和促进的目的和目标常见的弱点枚举(CWE™)/常见的攻击模式枚举和分类(CAPEC™)程序。 CWE / CAPEC董事会成员将彼此工作和社区提供建议和倡导CWE / CAPEC程序。通过开放和协作讨论,董事会成员将提供关键输入关于域覆盖,覆盖目标,操作结构,和战略方向。所有董事会会议和董事会将存档社区邮件列表讨论。 新成立的董事会包括以下组织的代表:云安全联盟,财团的软件质量(方案),网络和基础设施安全机构(CISA),GrammaTech,英特尔,微焦点,主教法冠(CWE / CAPEC委员会主持人)国家标准与技术研究院(NIST),打开Web应用程序安全性项目(OWASP),无,Synopsys对此,龟岛的逻辑,意大利degli研究di - Bicocca米兰,Veracode。 参观CWE / CAPEC董事会页面了解更多和/或查看成员的完整列表。 CWE 4.1版本 2020年6月25日|分享这篇文章 CWE 4.1版本已张贴在CWE列表页面添加27个新的吗硬件设计缺陷和8个新软件开发的弱点等更新。一个详细的报告可列出具体版本4.0和4.1版本之间的更改。 的模式从v6.2 v6.3确保一些更新XML元素总是提供或非空,为历史内容和关系。查看模式差异报告获取详细信息。 主要的变化 CWE 4.1包括以下更新: 1)27(27)新硬件的弱点:
2)两(2)新软件的缺点: 3)重构CWE-20:不适当的输入验证添加六(6)新孩子不同的特点:验证
CWE-20也更新澄清的描述输入验证是一种技术用于确保输入所示cwe - 707:不适当的中和。 4)更新214现有条目添加关系35 CWE 4.1版本中添加新的弱点。 总结 变化的新版本包括以下:
看到变化的完整列表https://cwe.mitre.org/data/reports/diff_reports/v4.0_v4.1.html。 未来的更新将会注意,在CWE的研究电子邮件讨论列表,CWE LinkedIn页面,在@cwecapec在推特上。请联系我们与任何评论或问题。 “设计师与黑客:硬件规模常用的弱点枚举技巧”文章EE 2020年6月10日|分享这篇文章 CWE的硬件2020年6月9日的主要话题是篇题为“设计师与黑客:硬件常见弱点枚举规模的建议“EE。 在这篇文章中,作者讨论了如何常见的弱点枚举(CWE™)和常见的漏洞和风险敞口(CVE®)”作为主要资源跟踪软件缺陷分类和已知的漏洞实例[和]软件架构师和开发人员使用这些工具,以帮助确保他们避免建筑安全问题到他们的软件产品,而研究人员和供应商寻求检测和添加新发现的漏洞来构建一个日益增长的集体参考铲除软件安全问题。”作者说硬件行业必须做同样的自近年来攻击者现在专注于硬件层。 作者详细描述了问题和识别CWE硬件作为社区开发的解决方案:“这个行业需要标准化,开放这种级别的洞察常见硬件安全问题。我们需要一个共同的语言,可以使用由研究人员和供应商共享关键的知识和最佳实践有效”CWE 4.0版本“我们现在更近一步的圣杯”作为“新CWE硬件设计视图已经包括30硬件问题经常被忽视的硬件设计师。” 在总结这篇文章中,作者讨论的好处“强劲的硬件CWE”建筑师、设计师、验证工程师,安全研究人员,整个硬件行业整体。作者声明:“新CWE 4.0是一个神奇的初始步骤的行业可以支持和发展——使从业者讲同一种语言,因为他们继续改善硬件产品的安全可靠性,每天世界各地的人们依靠。” “最常见的开源连续波”包括在安全条大道 2020年6月10日|分享这篇文章 CWE包含在6月4日2020篇题为“2020年6月开放源代码安全漏洞快照“安全大道,讨论了500年新发布的开源漏洞WhiteSource数据库2020年5月。 CWE节中提到了题为“可能最常见的开源连续波”,作者写道:“这三个最常见的连续波保持CWE - 79 (XSS), 5月CWE-20(不当输入验证),CWE - 200(信息暴露),和XSS漏洞相当领先。“这些,作者关注cwe - 79:不当中和的输入在Web页面生成(“跨站点脚本编制”),“最常见的漏洞类型在过去的两年里,三个最常见的一种连续波数年前。“五大最常见的弱点的一个图表可能还提供了引用了两个额外的弱点,“cwe - 125(界外读)”和“cwe - 416(使用后免费)”。 CWE引用添加到Red Hat的GNU Compiler Collection 2020年6月10日|分享这篇文章 的包容CWE引用在红帽公司。的GNU Compiler Collection (GCC)在3月26日宣布,2020篇题为“静态分析GCC 10“Red Hat开发者博客,如下:“GCC已经学会一些新技巧;首先,能力诊断有共同的弱点枚举(CWE)标识符。在这个例子中,双重释放诊断与cwe - 415标记。这个标签希望使输出更清晰,提高了精度,和给你一些简单的输入到搜索引擎。到目前为止,只有从-fanalyzer诊断与CWE弱点标记标识符。如果你使用GCC 10与一个合适的终端(如最近的gnome终端),CWE标识符是一个可点击的超链接,带你去一个描述的问题。” 利用CWE前25位是Infosecurity杂志文章的主题 2020年5月8日|分享这篇文章 如何利用2019发布的CWE最危险的软件错误2020年5月8日的主题是篇题为“多么有用是横切的最危险的软件错误的列表吗?”Infosecurity杂志。 作者开始这篇文章通过描述如何CWE的新版本前25位是明显不同于以前的版本中,最重要的是通过使用真实的数据常见的漏洞和风险敞口(CVE®)和国家标准与技术研究院的国家漏洞数据库(NVD)和影响CWE前25对软件开发和采购:“软件供应商或特定的程序有很多CWE弱点列表的顶部附近的讲述一个故事。例如,随着时间的推移,这些缺点应该持续下去,软件买家可以形成自己的判断安全设计生命周期和相关的风险。” 在讨论攻击序列中,作者描述了CWE如何排名前25位的可以提供一种不同的方法对解决发现的漏洞CVE条目,通过“调整CWE的排名,也考虑临界和因果关系,揭示了更深层次的模式,可以帮助软件公司优先考虑他们的安全开发生命周期。”还讨论了攻击者是一个真实的例子,使用软件漏洞和弱点的“EternalBlue“ms17 - 010利用“杠杆三种不同的软件安全问题来完成远程代码执行。”作者写道:“有益的是,攻击者需要他人有效工作的每个组件,或。这告诉支持者非常重要,而重要的是要贴片的所有软件安全问题及时与现代攻击,即使相关软件安全问题之一是修补,它往往有可能扰乱攻击涉及多个漏洞与不同的编程的弱点。” 关于如何利用2019 CWE前25名中,作者指出,CWE排名前25位的是“自己从未打算不够:它必须始终作为一种资源,而不是一个处方…在某种意义上它是一面镜子的世界cybercriminal开发哪些锁为常见的软件问题,并给出了后卫重要线索来应对这些问题。这些应该算到的环境是至关重要的对于一个给定的组织或环境和软件组件使用,所以安全团队最好的机会在减少的最大威胁他们的生意。” 阅读整篇文章https://www.infosecurity-magazine.com/opinions/mitre-software-errors/。 “硬件cw…这将改变一切”文章嵌入式计算设计 2020年4月17日|分享这篇文章 CWE对硬件的弱点2020年4月13日的主题是篇题为“硬件cw…这将改变一切“嵌入式计算设计,作者描述了硬件安全的必要性如下:“(确保)硬件设备不介绍网络安全脆弱性对整个系统的安全性至关重要。未能解决安全可以是一个代价高昂的错误,包括他们可能对消费者信心的影响,个人隐私,和品牌的声誉。的存在和开发硬件漏洞也可以增加上市时间;减少供应商的信任;并导致昂贵的法律诉讼,芯片回忆道,甚至失去生命。” 在这篇文章中,作者解释了CWE的历史,它是如何连接的常见的漏洞和风险敞口(CVE®)程序,所扮演的角色主教法冠公司和国土安全系统工程和发展研究所(HSSEDI)FFRDC,为什么和如何硬件的弱点被添加到CWE列表2020年2月,和包容的方式硬件CWE的弱点将影响硬件安全前进。在伙伴关系HSSEDI CWE发布4.0网络和基础设施安全机构(CISA)CVE和CWE的赞助商 本文作者总结如下:“在硬件级别(网络安全)是一种相对较新的现象…[然而,可用性的]…CWE 4.0版本,设计团队现在可以添加和利用实现安全规范整个行业的专业知识在美国政府、科研、学术界、商业解决方案公司,和其他媒体。常见的弱点也打开车门的标准化自动化规范,设计和验证的弱点。在未来我希望看到完全集成流基于列表允许所有设计团队检测和防止日益增长的cw列表”。 CWE 4.0是主要话题的文章状态的安全 2020年3月11日|分享这篇文章 CWE 4.02020年3月11日,是主要的话题的文章题为“斜方发布一个更新的共同弱点枚举(CWE)“状态的安全博客。 本文作者开始陈述CWE的价值:“斜方一直在做特殊工作推进网络安全作为一个公共好,安全专家和它是一个很好的资源。最出名的可能是其ATT&CK框架,丰富的对抗性的策略和技术措施之一,斜接也以另一种资源:共同的弱点枚举(CWE)。CWE是社区倡议由网络和基础设施安全机构(CISA)。社区贡献这个库非常广泛和多样化。它包括大型企业、大学、个体研究人员和政府机构…CWE有助于预先管理风险。因为这个列表也暴露在常见的弱点,它可以是一个有价值的工具,一个漏洞管理程序和一个有用的检查企业内潜在的妥协点。CWE允许用户搜索列表中通过软件和硬件的弱点以及其他一些有用的分组,允许详细的向下钻取和分析风险分析师。” 在这篇文章中,作者解释了CWE 4.0的发布添加硬件的弱点到CWE列表2020年2月,现在除了CWE”为开发人员提供了一个资源,设计师,安全分析人士和研究人员发现弱点和发展之前应对这些弱点是剥削。与一些资源,往往和信息安全工程师的主要受众,CWE的地方开发人员,设计师和建筑师在捍卫企业的过程。” 中钢协宣布CWE 4.0版 2020年2月26日|分享这篇文章 网络和基础设施安全机构(CISA)CWE的赞助商,2020年2月26日发布以下新闻发布会上宣布万博下载包CWE 4.0版本社区: 新CWE的共同安全弱点 斜方社区开发的发布了4.0版本常见的弱点枚举(CWE)列表。以前CWE版本列表描述常见的软件安全漏洞。与4.0版本,CWE列表扩展到包括硬件安全弱点。此外,4.0版本简化了弱点的表现成各种观点和添加一个搜索功能,使更容易导航的信息。 网络安全和基础设施安全机构(CISA)赞助商横切CWE项目,这是一个以社区为基础的计划。中钢协欢迎新伙伴CWE的程序。访问https://cwe.mitre.org学习如何参与进来。 阅读在中钢协网站上发布:https://www.us-cert.gov/ncas/current-activity/2020/02/26/new-cwe-list-common-security-weaknesses-0。 CWE 4.0版本 2020年2月24日|分享这篇文章 CWE 4.0版本已张贴在CWE列表页面添加支持吗硬件设计缺陷等更新。一个详细的报告可列出具体版本3.4.1和4.0版本之间的更改。 主要的变化 CWE 4.0包括两个新的视图:(1)硬件设计,组织经常使用的弱点在概念或中遇到的硬件设计;和(2)软件开发内容相结合,这是由前面的体系结构概念和发展概念视图。的模式更新从v6.1 v6.2(见CWE 4.0的发布包括CWE的变化模式详情)。 此外,一个新的“过滤视图”(β)添加查看CWE分类树(除了扩大和崩溃),它允许您明确完善哪些内容你想看到当浏览一个特定CWE。过滤视图(β)是目前可用的软件开发,硬件设计,研究概念的观点。 总结 变化的新版本包括以下:
看到变化的完整列表https://cwe.mitre.org/data/reports/diff_reports/v3.4.1_v4.0.html。 未来的更新将会注意,在CWE的研究电子邮件讨论列表,CWE LinkedIn页面,在@cwecapec在推特上。请联系我们与任何评论或问题。 CWE 4.0的发布包括CWE的变化模式 2020年2月24日|分享这篇文章 的释放CWE 4.0版本包括小的变化CWE模式更新从v6.1v6.2。 CWE模式6.2版的主要变化包括:
看到一个模式变化的详细清单https://cwe.mitre.org/data/reports/diff_reports/xsd_v6.1_v6.2.html。 未来的更新将会注意到这里的CWE研究员电子邮件讨论列表。请联系我们与任何评论或问题。 CWE硬件的势头继续发展 2020年1月23日|分享这篇文章 CWE提到在2020年1月13日,文章题为“为建立一个共同的弱点枚举硬件安全“在帮助网络安全。 在这篇文章中,作者状态:“作为攻击现代计算机系统变得越来越普遍和复杂,他们常常过去的软件层和进展”损害硬件。(今天),实现基于硬件的安全被广泛公认的最佳实践。然而,基于硬件的安全设计时都有自己的挑战,实现或验证正确…很明显,这个行业需要一个更好的和更深入的理解常见的硬件安全漏洞分类,包括这些漏洞被引入的信息产品,如何利用它们,它们相关的风险,以及最佳实践,以防止和识别他们在产品开发生命周期的早期。” CWE时首次提及作者提倡增加硬件的弱点CWE列表:“随着越来越多的人意识到硬件漏洞,CWE可以增强包括相关的入口点,常见的后果,例子,对策和检测方法从特定的硬件的角度来看。此外,有以硬件为中心为缺陷相关的硬件设备的物理特性(如温度、电压故障电流、磨损,干扰,等等),也应包括在CWE)。” CWE支持这个请求,因为我们一直与CWE社区合作一段时间添加硬件弱点CWE(参见“CWE名单扩大到包括硬件的弱点”)。在2020年2月底,CWE将发布4.0版本添加硬件弱点CWE列表,等更新。 CWE包含在硬件保证和弱点协作和分享讨论 2020年1月23日|分享这篇文章 CWE和CAPEC是包含在信任和放心微电子(温和)”2019年12月驯服工作组报告研究者。”控制提供了“一年两次的平台在学术界,在行业和政府和实践者,讨论创新的解决方案域的信任微电子在今天的全球化和复杂的供应链,讨论大挑战,寻找合作机会。” CWE和CAPEC,以及CVE都包含在“第1章:硬件保证和软弱的协作和共享(HAWCS)。”报告定义了这些努力,并解释了每个解决问题,以及它们是如何相互关联的:“具体的漏洞(常见的漏洞和风险敞口(CVE®)列表]是具体的例子(希望)中所描述的物品共同弱点枚举的目录(CWE)项目和可腐蚀的攻击模式捕获的常见的攻击模式枚举和分类(CAPEC)集合。通过连接一个公共漏洞在一个特定产品的弱点和攻击模式集合,组织可以利用这些集合和他们的信息评估和调查新发现的漏洞的例子和也提供机会来检查自己的代码集合相同类型的漏洞。” 本章的重点是如何教训CWE, CAPEC CVE和相关工作(例如,NVD,CVSS,水煤浆等)可以应用于开发类似的功能对硬件漏洞和弱点。为此,CWE的程序帮助实现这些目标硬件弱点分类法添加硬件的弱点CWE列表CWE 4.0的发布在2020年2月底。 4.0版本更新CWE正在进行 2020年1月10日|分享这篇文章 CWE的团队目前正在致力于CWE的生成和发布4.0版本,它将在2月底发布。 CWE 4.0版本将包括几个主要的变化从以前的版本,包括重组内容结合起来体系结构和发展视图和添加一个新的视图专注于硬件设计(读取初始声明)。 硬件设计缺陷是包含在CWE 4.0 过去几个月,CWE团队一直在与社区利益相关者列举并将他们融入到硬件设计缺陷CWE列表CWE 4.0版本。这个新观点将协助硬件设计人员更好地理解潜在的错误,可以在特定领域的知识产权设计,以及帮助教育者教育未来的专业人员的类型的错误往往是在硬件设计。 作为一个预览,新的硬件设计视图高级类别预计将包括:
反馈内容和提交的欢迎 一如既往,我们鼓励任何反馈,特别是如果你有想法的具体硬件的弱点包括这些新的类别。分享你的建议,请使用我们的新CWE内容提交表单。 感谢您继续支持CWE的项目,我们期待着听到您的声音。 “现在CWE内容提交表单” 2020年1月10日|分享这篇文章 一个CWE内容提交表单提交新弱点,修改现有的弱点等CWE团队中,可能会出现在未来版本的CWE列表现在可以在CWE的网站。的指导方针也可以使用新提交表单。 CWE团队建议使用表单,以确保包括所有相关信息以便我们可以审查和回复你的及时提交。请联系我们与任何评论或问题。
更多的信息是可用的,请选择一个不同的过滤器。
|
