万博下载包新闻和事件- 2021存档右键单击并将URL复制分享的一篇文章。发送反馈页面cwe@mitre.org。 CWE / CAPEC博客:“注意你的正则表达式也可以把你的程序进入一个无限循环” 2022年2月1日|分享这篇文章 CWE团队的“介意你的正则表达式也可以把你的程序进入一个无限循环“博客文章讨论如何如果你的项目使用或正则表达式实现,你需要检查他们的弱点可能允许攻击者阻止程序工作。 读了完整的文章CWE / CAPEC博客媒介。 CWE / CAPEC博客:“HTTP Desync:终极版和演化的HTTP走私和分裂攻击技术” 2022年1月13日|分享这篇文章 CWE团队的“HTTP Desync: HTTP回来的和进化的走私和分裂攻击技术“博客提供了一条引物常常合并HTTP(响应/请求)(分裂/走私)攻击技术以及有关的信息常见的攻击模式枚举和分类(CAPEC™)条目可能有助于进一步区分这两个概念。 读了完整的文章CWE / CAPEC博客媒介。 CWE / CAPEC董事会批准董事会章程的1.0版本 2022年1月10日|分享这篇文章 的CWE / CAPEC董事会批准的1.0版本”CWE / CAPEC董事会章程”2022年1月7日。合同包括两个主要部分,“董事会的概述和成员的责任”和“董事会成员和操作,”以及“董事会章程回顾”部分描述的过程更新合同。随着特许文档的1.0版本,委员会也批准了“CWE / CAPEC计划专业行为准则。” CWE / CAPEC通信调查 2022年1月6日|分享这篇文章 CWE / CAPEC程序请求你的反馈对我们的沟通努力。我们想了解你想覆盖在我们的话题CWE / CAPEC博客和禁止入内的读播客,还有其他你想看到或了解更多吗? 请回复我们的“CWE / CAPEC通信调查“今天,分享你的想法! CWE / CAPEC Jason Fung董事会成员讨论最重要的硬件cw播客 2022年1月6日|分享这篇文章 听CWE / CAPEC董事会成员杰森的冯英特尔讨论2021年最重要的硬件缺陷列表及其对硬件安全行业的潜在影响英特尔的芯片和莎莎播客。 CWE / CAPEC博客:“中和你输入:Log4Shell弱点故事” 2021年12月20日|分享这篇文章 CWE团队的“中和你的输入:Log4Shell弱点的故事“博客文章讨论相关的潜在弱点cve - 2021 - 44228。 读了完整的文章CWE / CAPEC博客媒介。 CWE / CAPEC博客:“别忘了保护您的硬件从宇宙” 2021年12月10日|分享这篇文章 CWE团队的“别忘了保护你的硬件从宇宙的力量“博客文章讨论了如何prefent或恢复single-event-upset (SEU)。 读了完整的文章CWE / CAPEC博客媒介。 CWE / CAPEC播客:“CWE和硬件安全” 2021年11月3日|分享这篇文章 CWE / CAPEC计划的“禁止入内的读“播客是致力于帮助社区,保护系统通过了解弱点和攻击模式在软件和硬件。 在我们的第五集。”CWE和硬件安全,“硬件专家讨论硬件cw和“2021年CWE™最重要的硬件缺陷列表列表”,包括如何将帮助社区,他们最喜欢的条目和令人惊讶的物品列表,和故事在硬件的弱点。 受访者包括詹森•冯主任进攻安全研究和学术研究订婚英特尔;詹森·奥伯格共同创始人兼首席技术官龟岛的逻辑;保罗•Wortman网络安全研究员富国银行(Wells Fargo);贾斯帕·冯·Woudenberg首席技术官Riscure北美的合著者”硬件黑客手册”;高级安全分析师和妮可蕨类植物Riscure。 
播客是免费的CWE / CAPEC计划在YouTube频道,界外Buzzsprout阅读页面,或者在播客的平台上。 请给播客一听,让我们知道你的想法,在推特上评论@cwecapec或者直接发送的消息,电子邮件我们cwe@.mitre.org。我们期待着你! CWE / CAPEC博客:“新的数学:不要让实数导致现实生活中或金钱的损失” 2021年的11月2日|分享这篇文章 CWE团队的“新的数学:不要让实数造成现实生活中或金钱的损失“博客文章讨论的重要性,确保你知道你试图解决的问题的局限性和测试这些限制。 读了完整的文章CWE / CAPEC博客媒介。  “2021”CWE最重要的硬件缺陷列表现在可用! 2021年的10月28日|分享这篇文章 第一个版本的“2021年CWE™最重要的硬件缺陷列表”,一个由社区开发的硬件缺陷列表和详细描述为减轻和避免他们权威的指导,现在CWE网站上可用。 目标 目标为2021年的硬件列表是开车的认识常见的硬件通过CWE的弱点,并从源头上防止硬件安全问题通过教育设计者和程序员如何消除在产品开发周期的早期重要的错误。 安全分析师和测试工程师可以使用列表在准备计划安全性测试和评估。硬件消费者可以使用列表来帮助他们寻求更安全的硬件产品的供应商。同时,经理和首席信息官可以使用列表作为一个标尺的进步在努力确保他们的硬件和确定直接资源开发安全工具或自动化进程,缓解类的漏洞通过消除下属的根本原因。 参观2021硬件列表页面查看完整列表,以及其他细节包括限制,方法等等。 一个社区的努力 列表中合作的直接结果硬件CWE特殊利益集团(团体)社区论坛,个人代表组织在硬件设计、制造、研究、和安全域,以及学术界和政府。 欢迎反馈 请发送任何反馈或问题CWE的研究电子邮件讨论列表,@cwecapec在推特上,CWE LinkedIn页面,或联系我们直接。 CWE 4.6版本 2021年的10月28日|分享这篇文章 CWE 4.6版本已张贴在CWE列表页面添加支持最近发布的“2021 CWE最重要的硬件的弱点”列表,创建一个基于该公司最近发布的初始视图OWASP十大2021。 一个详细的报告可列出具体版本4.5和4.6版本之间的更改。 主要变化: CWE 4.6包括1新视图支持发布的“2021 CWE最重要的硬件缺陷”;1新视图与10个类别的基础上,该公司最近发布的“2021年OWASP十佳”;1新软件的弱点,cwe - 1341:多个版本的相同的资源或处理;和1个新硬件的弱点,cwe - 1342:信息通过Microarchitectural接触状态瞬态后执行。此外,许多条目的硬件已经显著改善名单、描述、检测方法、潜在的缓解措施,例子和引用。 的模式更新从v6.5 v6.6(1)添加“正式确认”和“模拟/仿真”DetectionMethodEnumeration,用于Detection_Method元素的弱点;和(2)添加“气馁惯例”EffectivenessEnumeration,用于缓解元素的弱点。查看模式差异报告获取详细信息。 简介: 变化的新版本包括以下:
看到变化的完整列表https://cwe.mitre.org/data/reports/diff_reports/v4.5_v4.6.html。 未来的更新将会注意,在CWE的研究电子邮件讨论列表,CWE LinkedIn页面,在@cwecapec在推特上。请联系我们与任何评论或问题。 CWE / CAPEC播客:“CWE 15周年特别” 2021年10月14日|分享这篇文章 CWE / CAPEC计划的“禁止入内的读“播客是致力于帮助社区,保护系统通过了解弱点和攻击模式在软件和硬件。 我们的第四集。”CWE 15周年特别”,是一种特殊的网络安全意识月播客,我们讨论的15年历史和未来CWE/CAPEC程序与那些CWE做出了重大贡献:Bob Martin,横切主要软件和供应链保证高级工程师;主任乔·哲伯克政府和关键基础设施项目简介;研究总监克里斯•英格Veracode;CWE / CAPEC计划负责人克里斯•Levendis横切;和Buttner,软件保证在横切功能区域。
播客是免费的CWE / CAPEC计划在YouTube频道,界外Buzzsprout阅读页面,或者在播客的平台上。 请给播客一听,让我们知道你的想法,在推特上评论@cwecapec或者直接发送的消息,电子邮件我们cwe@.mitre.org。我们期待着你! CWE / CAPEC博客:“最重要的连续波和CAPECs关注在构建软件” 2021年10月6日|分享这篇文章 CWE团队的“最重要的连续波和CAPECs构建软件时注意“博客文章包括5检查您的开发过程。 读了完整的文章CWE / CAPEC博客媒介。 CWE / CAPEC播客:“2021年前25位最危险的软件弱点” 2021年9月15日|分享这篇文章 CWE / CAPEC计划的“禁止入内的读“播客是致力于帮助社区,保护系统通过了解弱点和攻击模式在软件和硬件。 在我们的第三集,”关于2021年前25位最危险软件的弱点CWE / CAPEC项目的,”史蒂夫·巴蒂斯塔采访Rushi Purohit,曾帮助领导最近几年”背后的努力最危险的软件缺陷出版物。我们讨论新的2021年版本的列表。
播客是免费的CWE / CAPEC计划在YouTube频道和其他播客平台。 请给播客一听,让我们知道你的想法,在推特上评论@cwecapec或者直接发送的消息,电子邮件我们cwe@.mitre.org。我们期待着你! CWE / CAPEC董事会电话会议纪要和会议在8月17日 2021年9月1日|分享这篇文章 的CWE / CAPEC董事会2021年8月17日举行电话会议会议。读了会议纪要。 CWE / CAPEC播客:“CAPEC是什么,为什么它是重要的,以及它如何帮助我吗?” 2021年9月1日|分享这篇文章 CWE / CAPEC计划的“禁止入内的读“播客是致力于帮助社区,保护系统通过了解弱点和攻击模式在软件和硬件。 在第二节课中,“CAPEC是什么,为什么它是重要的,它怎么能帮助我吗?CWE / CAPEC项目的,”史蒂夫·巴蒂斯塔采访富广场,CAPEC任务,什么常见的攻击模式枚举和分类(CAPEC™)它旨在解决的问题,谁能受益于CAPEC以及如何利用它,社区的作用,如何CAPEC已经随着时间的推移,和对未来的可能性。
播客是免费的CWE / CAPEC计划在YouTube频道和其他播客平台。 请给播客一听,让我们知道你的想法,在推特上评论@cwecapec或者直接发送的消息,电子邮件我们capec@.mitre.org或cwe@.mitre.org。我们期待着你! CWE博客文章侧重于“影子复制”的弱点 2021年8月18日|分享这篇文章 CWE团队发布了一个“谁知道密码心中潜藏着窗户吗?影子知道!“博客文章侧重于影子复制弱点绰号“SeriousSAM”或“HiveNightmare。” 读了完整的文章CWE / CAPEC博客媒介。  2021”CWE排名前25位的“现在可用! 2021年7月20日|分享这篇文章 官方版的“2021 CWE最危险软件的弱点”,最广泛的示范列表和关键性的弱点可以导致严重的漏洞的软件,现在CWE网站上可用。 这些弱点是危险的,因为他们往往容易发现,开发,和能让对手完全接管一个系统,窃取数据,或者阻止应用程序工作。CWE的前25位是一种宝贵的社会资源,可以帮助开发人员、测试人员,和用户,以及项目经理,安全研究人员和教育工作者提供洞察最严重和当前安全弱点。 是什么改变了 2020年和2021年之间的主要区别CWE排名前25位的列表是继续过渡到更具体的弱点而不是抽象类级别的弱点。 包括从高层类显著向下运动cwe - 200:暴露敏感信息的未经授权的演员;cwe - 119:不当的操作限制的范围内一个内存缓冲区;cwe - 94:不当控制生成的代码(代码注入);cwe - 269:不当特权的管理;和cwe - 732:不正确的权限分配的关键资源。 类级相对衰落的弱点,更具体的cw排名更高,如cwe - 78:中和不当使用特殊的元素在一个操作系统命令(OS命令注入);CWE-22:不当限制限制目录的路径名(“路径遍历”);cwe - 434:无限制上传文件与危险的类型;cwe - 306:失踪的身份验证的重要功能;cwe - 502:反序列化不可信的数据;cwe - 862:失踪的授权;和cwe - 276:不正确的默认权限。 利用实际数据 2021年创建列表,CWE团队使用一种数据驱动的方法,利用出版常见的漏洞和风险敞口(CVE®)数据和相关CWE映射发现在国家标准与技术研究所(NIST)国家漏洞数据库(NVD),以及普通危险得分系统(CVSS)分数与每一个cf。得分公式被应用于确定每个弱点的患病率和危险水平的礼物。 2021年CWE前25位利用NVD数据从2019年到2020年,由大约32500个cf与弱点。计分公式用于计算排名的顺序的弱点相结合的频率CWE的脆弱性的根本原因是预计其剥削的严重性。在这两种情况下,频率和严重程度都是归一化相对于最小值和最大值。 更详细的信息包括方法论、排名,得分,和精致的映射,请访问CWE前25名页面。 欢迎反馈 请发送任何反馈或问题CWE的研究电子邮件讨论列表,@cwecapec在推特上,CWE LinkedIn页面,或联系我们直接。 CWE 4.5版本 2021年7月20日|分享这篇文章 CWE 4.5版本已张贴在CWE列表页面添加支持最近发布的“2021 CWE最危险软件的弱点”列表等更新。 一个详细的报告可列出具体版本4.4和4.5版本之间的更改。 主要变化: CWE 4.5包括1新视图支持的发布2021年CWE前25名3新软件的弱点,1新硬件的弱点。此外,有许多更新与随机性。 的模式更新从v6.4 v6.5使Content_History元素需要所有顶级元素(视图、类别和弱点)和添加LanguageNameEnumeration“生锈”,用于Applicable_Platform和Demonstrative_Example元素的弱点。此外,一些CWE条目现在使用< img >标记包含图片,等cwe - 1339和cwe - 1256。这些标记对早期的模式版本是有效的,但是他们可能需要一个程序的功能变化呈现XML。查看模式差异报告获取详细信息。 一个新的视图补充道: 三个新软件弱点补充道: 一个新硬件的弱点补充道: 简介: 变化的新版本包括以下:
看到变化的完整列表https://cwe.mitre.org/data/reports/diff_reports/v4.4_v4.5.html。 未来的更新将会注意,在CWE的研究电子邮件讨论列表,CWE LinkedIn页面,在@cwecapec在推特上。请联系我们与任何评论或问题。 CWE / CAPEC计划推出新的播客! 2021年7月16日|分享这篇文章 CWE / CAPEC程序的新的“禁止入内的读“播客是致力于帮助社区,保护系统通过了解弱点和攻击模式在软件和硬件。 在我们的首次发作,史蒂夫·巴蒂斯塔CWE / CAPEC计划采访史蒂夫Christey绿青鳕,CWE / CAPEC项目技术主管,什么常见的弱点枚举(CWE™)是,它旨在解决的问题,他可以受益于CWE和如何利用它,社区的作用,如何CWE已经随着时间的推移,和对未来的可能性。
播客是免费的CWE / CAPEC计划在YouTube频道CWE网站作为一个MP3。其他播客平台快到了。 请给播客一听,让我们知道你的想法,在推特上评论@cwecapec或者直接发送的消息,电子邮件我们cwe@.mitre.org。我们期待着你! CWE博客文章讨论了“整数溢出或概括”的弱点 2021年7月15日|分享这篇文章 CWE团队发布了一个“巴菲特在伯克希尔哈撒韦公司股票的溢出整数溢出“博客文章cwe - 190:整数溢出或概括,“软件执行计算,可以产生一个整数溢出或概括,当逻辑假设得到的值总是大于原始值。这可以介绍其他弱点当计算用于资源管理或执行控制。” 读了完整的文章CWE / CAPEC博客媒介。 CWE博客文章关注的两个缺点,导致苹果iOS 0天 2021年7月1日|分享这篇文章 CWE团队发布了一个“阅读XML不一致导致苹果iOS 0天“博客文章如何有时弱点并不在一段特定的代码或可执行但在多个可执行文件解释相同的输入,如何使他们的行为会有所不同。 读了完整的文章CWE / CAPEC博客媒介。 CWE博客文章讨论了幽灵缓解对于开发人员,技术人员和领导 2021年6月17日|分享这篇文章 CWE团队发布了一个“一旦理论,幽灵出没的实际实现web应用程序“博客文章仍迫在眉睫的和实际的威胁幽灵及其边信道攻击,连同幽灵缓解建议开发人员,技术人员和领导。 读了完整的文章CWE / CAPEC博客媒介。 CWE映射包含在“2021前20名安全PLC编码实践列表” 2021年6月17日|分享这篇文章 CWE的程序很高兴参与首开先河,社区主导型努力捕捉最佳实践代码在可编程逻辑控制器(plc)。每个条目在“2021年前20名安全PLC编码实践列表“地图其做法背后的根源的弱点(cw)。 根据PLC安全网站”,这个项目的目的是为工程师提供指导方针,创建软件(梯子逻辑、函数图表等),以帮助改善工业控制系统的安全状况。这些实践利用本地可用功能的PLC / DCS。几乎不需要任何额外的软件或硬件来实现这些实践。他们都可以融入正常的PLC编程和操作流程。超过安全专业知识,熟悉plc的保护,他们的逻辑,和底层过程需要实现这些行为。” CWE程序与前20名安全PLC共享一个共同的目标在源编码实践项目来帮助阻止漏洞,防止他们出现在生产代码。我们鼓励你去利用前20名安全PLC编码实践,避免他们的基础连续波,当plc编程。 加入CWE / CAPEC用户体验工作小组! 2021年6月10日|分享这篇文章 感兴趣的努力改善我们现在的弱点攻击模式?加入新的CWE / CAPEC用户体验工作小组(CWE / CAPEC问题WG),每两周将召开会议,策划和开发解决方案优化内容和教育用户。 加入或了解更多,我们在Twitter上直接消息@cwecapec或电子邮件我们cwe@mitre.org。 CWE / CAPEC董事会电话会议纪要和会议5月18日 2021年5月26日|分享这篇文章 的CWE / CAPEC董事会2021年5月18日举行电话会议会议。读了会议纪要。 CWE博客文章提供了可能的解决方案,以避免“双自由”的弱点 2021年5月19日|分享这篇文章 CWE团队发布了一个“如果你爱一些东西,将它设置免费的,但只有一次“博客文章,为避免提供了可能的解决方案双自由的弱点。 读了完整的文章CWE / CAPEC博客媒介。 CWE / CAPEC程序启动的YouTube频道 2021年5月12日|分享这篇文章 CWE / CAPEC程序现在YouTube上! 我们的新在YouTube上CWE / CAPEC通道目前包括几个视频CWE兼容程序从“CWE兼容程序供应商2021年峰会。” 请查看视频,让我们知道你的想法在YouTube上发表评论。我们期待着你! CWE博客文章的重点是避免不受控制的搜索路径的弱点 2021年5月6日|分享这篇文章 CWE团队发布了一个“为什么构建链可能安装随机包“博客文章,讨论如何避免不受控制的搜索路径元素的弱点。 读了完整的文章CWE / CAPEC博客媒介。 CWE是Riscure研讨会的主要话题 2021年4月29日|分享这篇文章 CWE / CAPEC团队领导亚历克夏天了Riscure研讨会题为“共同的弱点枚举(CWE):软件和硬件设计缺陷的共同语言。” CWE博客文章的重点是防止硬件的弱点 2021年4月21日|分享这篇文章 CWE团队发布了一个“解决Thunderspy,一次一个弱点“博客文章,讨论了如何将安全融入到硬件设计和实现可以防止缺陷,可能导致未来的漏洞。 读了完整的文章CWE / CAPEC博客媒介。 CWE博客文章的重点是如何缓解一个弱点可以介绍另一个弱点 2021年4月6日|分享这篇文章 CWE团队发布了一个“当气候变化有自己的弱点“博客文章还讨论了未来的问题是如何减少测试跨多个缺陷类型。 读了完整的文章CWE / CAPEC博客媒介。 指导cf映射到连续波 2021年3月25日|分享这篇文章 指导漏洞映射到弱点现在可以在“CVE→CWE映射指导”CWE的网站页面。供应商和研究人员生产或分析CVE记录可以使用这个指导更好的对齐(即新发现的漏洞。各自的CVE记录),(即潜在弱点。CWE条目)。 本指南是根据两年的经验分析和映射中的成千上万的CVE记录NIST的国家漏洞数据库(NVD)为计算年度连续波CWE前25名列表。通过调整CVE记录最适用CWE条目,社区将更好地减轻或消除它们相关的操作风险最有效。 指导 提供了一个新的指导CWE的概述,一段复习CWE条目结构有用的资源,并提供五种不同映射方法CWE网站上可以使用,以帮助确定合适的弱点映射CVE记录:
欢迎反馈 请联系我们与任何评论或担忧指导。我们期待着你! CWE博客文章的重点是如何映射漏洞弱点可以帮助防止未来的漏洞 2021年3月25日|分享这篇文章 CWE团队发布了一个“减缓sudo或(准确地映射漏洞弱点的重要性)“博客篇关于映射的弱点的弱点的好处。 读了完整的文章CWE / CAPEC博客媒介。 CWE / CAPEC董事会电话会议纪要和会议2月10日 2021年3月19日|分享这篇文章 的CWE / CAPEC董事会2021年2月10日举行电话会议会议。读了会议纪要。 CWE 4.4版本 2021年3月15日|分享这篇文章 CWE 4.4版本已张贴在CWE列表页面添加1新视图,CWE条目维护记录评估供应商,可以用来预测未来的变化CWE和帮助客户准备这些变化;2个新的软件开发的弱点条目:代的弱初始化向量(IV)和低效的正则表达式的复杂性;以及更新244个条目。一个详细的报告可列出具体版本4.3和4.4版本之间的更改。 CWE内容团队在以下方面进行了深入的研究和分析:
简介: 变化的新版本包括以下:
看到变化的完整列表https://cwe.mitre.org/data/reports/diff_reports/v4.3_v4.4.html。 未来的更新将会注意,在CWE的研究电子邮件讨论列表,CWE LinkedIn页面,在@cwecapec在推特上。请联系我们与任何评论或问题。 感谢所有参与CWE兼容程序供应商峰会2021 ! 2021年3月15日|分享这篇文章 CWE程序要感谢所有参与的人CWE兼容程序供应商峰会2021年3月11日。事件包括伟大的讨论从多视点主题重要CWE和CWE程序的兼容性。 特别感谢我们小组成员:
有一个巨大的洞察力和深思熟虑的评论从天CWE团队蒸馏和发展成材料为后续参与与社区分享。同时,请帮助我们遵循我们继续讨论@cwecapec在推特上,CWE LinkedIn页面,CWE的博客,CWE讨论列表,或者电子邮件。我们期待着你! 活动议程CWE兼容性项目的现有供应商峰会2021年3月11日 2021年3月2日|分享这篇文章 事件议程为CWE兼容程序供应商峰会2021年3月11日上午10:30 - 4:30。(美国东部时间)可用。 这个事件将项目的重点领域改进,教育和意识,CWE现代化。参加者将有机会参与后续讨论以下主题和更多:
如果你还没有注册,所以仍有空间今天注册! CWE兼容程序供应商峰会2021 -注册现在开放! 2021年2月24日|分享这篇文章 今年的注册CWE兼容程序供应商峰会现在是开放的!参与者在这个自由虚拟事件将有机会提供反馈CWE和CWE兼容程序是如何为他们和他们的客户工作。 峰会的议程,将于3月11日,2021年从上午10:30 - 4:30。(美国东部时间),将很快上市。今天注册! 
CWE兼容程序供应商2021年峰会 “让硬件强劲CWE”文章半导体工程 2021年1月15日|分享这篇文章 使用CWE的硬件鼓励在2020年12月9日篇题为“使硬件与CWE强劲“在半导体工程。 在这篇文章中,作者定义了硬件的弱点是什么,解释了为什么解决他们必须硬件安全,并描述了如何CWE对硬件有帮助。作者声明:“弱点可以期间推出的任何阶段的ASIC和FPGA硬件开发过程,包括pre-silicon RTL编码等阶段,集成第三方知识产权(3点),合成,place-and-route,和比特流生成……不幸的是,当涉及到安全弱点,和后果的问题变得更糟。专业黑客,安全研究人员和其他非常聪明和有创造力的人不断试图找到方法违反了安全保护…最终,一个或多个缺陷可能会导致一个漏洞被攻击者利用违反系统安全策略。” 作者描述了硬件,需要CWE如下:“安全需求和保证流程必须所有这些应用程序的一个组成部分的硬件开发生命周期…CWE提供了一个共同的语言和目标IP列表并集成电路(IC)开发人员,和电子设计自动化(EDA)工具厂商。”
更多的信息是可用的,请选择一个不同的过滤器。
|
