万博下载包新闻和事件右键单击并将URL复制分享的一篇文章。请联系我们对这个页面提供反馈。 CWE 4.9版本 2022年10月13日|分享这篇文章 CWE 4.9版本*已经发布在CWE列表页面。有一个新软件,cwe - 1389:不正确的解析数字不同的词根,其中包括一个示范例子承认CWE团队成员凯利托德。有五个额外的条目,适用于软件和硬件,相关弱身份验证和默认凭证。一个过时的观点已被弃用。693条进行了修改,主要是小改变新模式值或CVE-related url,简化内容生产和其他变化CWE REST API,仍处于开发阶段。 重要内容更改为4.9 CWE包括:
一个详细的报告可列出具体版本4.8和4.9版本之间的更改。 *这CWE致力于内存释放我们的朋友和同事,凯利托德。他是一个有价值的,有趣的团队的成员,他的贡献将不会被遗忘。 查看定制CWE信息 CWE团队合作CWE / CAPEC用户体验工作小组(UEWG)更新用户可以查看如何弱点,只显示那些最相关的弱点细节,如下表示。这个更新替换常常被忽视的下拉菜单有四个新过滤器选项更好地反映我们的观众的需求。 四个新表示过滤器包括:
请参见下面的一个例子: 
我们计划继续更新字段与UEWG可见。加入今天提供你的反馈,或者联系我们cwe@mitre.org。 主要变化: 5新软件/硬件弱点补充道: 1新软件弱点补充道: 1查看弃用: 的模式更新从v6.8 v6.9使用更加一致的和可以理解的价值观在某些枚举,允许映射指出,和其他小的变化,其中一些促进CWE REST API开发。查看模式差异报告获取详细信息。 简介: 变化的新版本包括以下:
看到变化的完整列表https://cwe.mitre.org/data/reports/diff_reports/v4.8_v4.9.html。 未来的更新将会注意,在CWE的研究电子邮件讨论列表,CWE LinkedIn页面,在@cwecapec在推特上。请联系我们与任何评论或问题。 新CWE / CAPEC董事会成员来自内布拉斯加大学奥马哈 2022年9月9日|分享这篇文章 罗宾·甘地的内布拉斯加大学奥马哈已经加入了CWE / CAPEC董事会。 通过开放和协作讨论,CWE / CAPEC董事会成员提供关键输入关于域覆盖,覆盖目标,操作结构,和战略方向。成员包括技术实现者提供输入和指导关于创建、设计、审查,维护,和应用程序的CWE / CAPEC条目;主题专家领域专家的弱点和/或攻击模式相关的字段和代表一个重要选区,或影响,CWE / CAPEC;和环保人士积极支持和促进CWE / CAPEC整个社区在一个高度可见的和负责任的态度。 CWE / CAPEC播客:“使用CWE / CAPEC教育” 2022年7月11日|分享这篇文章 CWE / CAPEC计划的“禁止入内的读“播客是致力于帮助社区,保护系统通过了解弱点和攻击模式在软件和硬件。 在我们的最新一集。”使用CWE / CAPEC教育“我们与Pietro Braione聊天意大利degli研究di - Bicocca米兰他是如何使用CWE和CAPEC帮助大学课程教网络安全。分类法如何帮助教软件开发的呼吸问题也进行了讨论。 
播客是免费的CWE / CAPEC计划在YouTube频道,界外Buzzsprout阅读页面,或者在播客的平台上。 请给播客一听,让我们知道你的想法,在推特上评论@cwecapec或者直接发送的消息,电子邮件我们capec@.mitre.org或cwe@.mitre.org。我们期待着你! 
2022”CWE排名前25位的“现在可用! 2022年6月28日|分享这篇文章 官方版的“2022 CWE最危险软件的弱点”示范列出最常见的和有效的软件缺陷导致软件可利用的漏洞,现在CWE网站上可用。 这些弱点是危险的,因为他们往往容易发现,开发,和能让对手完全接管一个系统,窃取数据,或者阻止应用程序工作。许多专业人士处理软件将找到CWE排名前25位的一种实用、方便的资源来帮助降低风险。这可能包括软件架构师、设计人员、开发人员、测试人员、用户、项目经理、安全研究人员,教育工作者和贡献者标准开发组织。 是什么改变了 2021年和2022年之间的主要区别CWE排名前25位的列表添加三个新弱点类型和几个著名的排名位置的变化对于弱势类型,包括三种类型的弱点,完全列表。 三个新的补充cwe - 362:并发执行和不当使用共享资源同步(“竞争条件”);cwe - 94:不当控制生成的代码(代码注入);和cwe - 400:不受控制的资源消耗。 缺陷类型更高的名单上包括移动cwe - 77:不当中和一个命令中使用的特殊元素(“命令注入”)和cwe - 476: NULL指针,而cwe - 306:失踪的身份验证的重要功能搬到更低。掉下来的三个弱点类型列表cwe - 200:暴露敏感信息的未经授权的演员;cwe - 522:保护不足的凭证;和cwe - 732:不正确的权限分配的关键资源。 利用实际数据 2022年创建列表,CWE程序杠杆常见的漏洞和风险敞口(CVE®)数据发现在国家标准与技术研究所(NIST)国家漏洞数据库(NVD)和普通危险得分系统(CVSS)分数与每个CVE相关记录,包括关注CVE记录从网络安全基础设施安全机构(CISA)已知的漏洞(凯文)目录。那时一个公式应用到数据基于发病率和严重程度得分每个弱点。 2022年CWE前25位利用NVD数据从2020年到2021年,37899年由cf与弱点。计分公式用于计算排名的顺序的弱点相结合的频率CWE的根源是一个脆弱的平均每一个漏洞的严重性CVSS的剥削来衡量。在这两种情况下,频率和严重程度都是归一化相对于最小值和最大值。 更详细的信息包括方法论、排名,得分,和精致的映射,请访问CWE前25名页面。 欢迎反馈 请发送任何反馈或问题CWE的研究电子邮件讨论列表,@cwecapec在推特上,CWE LinkedIn页面,或联系我们直接。 CWE 4.8版本 2022年6月28日|分享这篇文章 CWE 4.8版本已张贴在CWE列表页面添加支持最近发布的“2022 CWE最危险软件的弱点”列表等更新。 一个详细的报告可列出具体版本4.7和4.8版本之间的更改。 主要变化: CWE 4.8包括1新视图支持的发布2022年CWE前25名1新软件的弱点,1新硬件类别。软件缺陷类型包括在2022年CWE排名前25位的还包括观察到的例子来自网络和基础设施安全机构(CISA)已知的漏洞(凯文)目录显示与实际利用之间的关系。 一个新的视图补充道: 一个新软件的缺点补充道: 一个新的硬件类别补充道: 的模式从v6.7 v6.8更新更新TechnologyNameEnumeration强调硬件在某些值。查看模式差异报告获取详细信息。 简介: 变化的新版本包括以下:
看到变化的完整列表https://cwe.mitre.org/data/reports/diff_reports/v4.7_v4.8.html。 未来的更新将会注意,在CWE的研究电子邮件讨论列表,CWE LinkedIn页面,在@cwecapec在推特上。请联系我们与任何评论或问题。 CWE / CAPEC博客:“如何有效地利用硬件连续波在你组织”提供的杰森·奥伯格龟岛的逻辑 2022年5月15日|分享这篇文章 CWE / CAPEC计划很高兴欢迎的贡献CWE / CAPEC博客本文由龟岛的逻辑我们的主要合作伙伴之一。 这篇文章的题目是“如何有效地利用硬件在整个组织中连续波”,讨论了两种硬件CWE可以应用在半导体组织支持更高级别的安全保证,是龟岛的杰森·奥伯格写的逻辑,龟岛逻辑的创始人之一。 应该注意的是,在这篇文章中表达的观点和意见不一定状态或反映这些CWE / CAPEC计划,和任何引用到一个特定的产品,过程,或服务不构成或暗示背书的CWE / CAPEC计划产品,过程或服务,或它的生产者或提供者。 读了完整的文章CWE / CAPEC博客媒介。 CWE / CAPEC博客:“脆弱性管理中缺失的一个环节”由费尔Filiposki AttackForge 2022年5月5日|分享这篇文章 CWE / CAPEC计划很高兴欢迎的贡献CWE / CAPEC博客本文由AttackForge我们的主要合作伙伴之一。 这篇文章的题目是“脆弱性管理中缺失的一个环节”,讨论了需要正常化笔测试结果可以与脆弱性管理系统——以及如何合并常见的攻击模式枚举和分类(CAPEC™)是解决方案的一部分,是由赶制Filiposki AttackForge创始人之一,是我们的第一个博客由CWE / CAPEC计划的合作伙伴。 应该注意的是,在这篇文章中表达的观点和意见不一定状态或反映这些CWE / CAPEC计划,和任何引用到一个特定的产品,过程,或服务不构成或暗示背书的CWE / CAPEC计划产品,过程或服务,或它的生产者或提供者。 读了完整的文章CWE / CAPEC博客媒介。 新CWE / CAPEC董事会成员从红色的帽子 2022年5月5日|分享这篇文章 杰里米·西红帽公司。已经加入了CWE / CAPEC董事会。 通过开放和协作讨论,CWE / CAPEC董事会成员提供关键输入关于域覆盖,覆盖目标,操作结构,和战略方向。成员包括技术实现者提供输入和指导关于创建、设计、审查,维护,和应用程序的CWE / CAPEC条目;主题专家领域专家的弱点和/或攻击模式相关的字段和代表一个重要选区,或影响,CWE / CAPEC;和环保人士积极支持和促进CWE / CAPEC整个社区在一个高度可见的和负责任的态度。 CWE 4.7版本 2022年4月28日|分享这篇文章 CWE 4.7版本已张贴在CWE列表页面添加支持最近发布的类别的工业控制系统安全漏洞(ICS)发表的吗确保能源基础设施执行工作组(SEI ETF)2022年3月。持续扩张到ICS和操作技术(OT) CWE将讨论的内容CWE-CAPEC ICS / OT特殊利益集团(团体)2022年5月18日推出。 一个详细的报告可列出具体版本4.6和4.7版本之间的更改。 主要变化: CWE 4.7包括1新观点,“弱点在ICS SEI ETF类别的安全漏洞”;1新软件的弱点,cwe - 1385:失踪的起源验证WebSockets;1新硬件的弱点,cwe - 1384:处理不当的极端物理环境条件;1新软件/硬件的弱点,cwe - 1357:依赖控制组件;1软件缺陷还包括硬件更新,cwe - 1059:技术文档不足;1弃用的弱点,在开关cwe - 365:竞态条件;并更新到144其他条目。此外,状态属性在每个CWE条目页面的右上角将不再显示。人们普遍误解,导致混乱对CWE内容的质量和完整性。状态属性将继续被包括在每个条目的XML。 的模式添加新条目更新从v6.6 v6.7 TechnologyNameEnumeration镜子现有条目,但删除“知识产权”,按照硬件CWE团体讨论。此外,注释添加到之前的条目并指出他们的弃用。查看模式差异报告获取详细信息。 简介: 变化的新版本包括以下:
看到变化的完整列表https://cwe.mitre.org/data/reports/diff_reports/v4.6_v4.7.html。 未来的更新将会注意,在CWE的研究电子邮件讨论列表,CWE LinkedIn页面,在@cwecapec在推特上。请联系我们与任何评论或问题。 加入CWE-CAPEC ICS / OT特殊利益集团! 2022年4月21日|分享这篇文章 与的合作美国能源部(DOE)办公室的网络安全、能源安全、和应急响应(ces)CWE / CAPEC计划——由中钢协任职期间国土安全系统工程和发展研究所(HSSEDI)高兴地宣布“CWE-CAPEC ICS /团体,“一个新的特殊利益集团专注于工业控制系统的安全漏洞(ICS)和操作技术(OT)。 虽然它有一个现存的识别和分类工作的安全弱点,它和ICS / OT是不同的,现有的分类并不总是有用的描述和管理安全弱点ICS /不系统。更有效地解决这一差距将帮助所有利益相关者沟通和有效地促进团结的努力在识别和减轻ICS /不安全弱点,尤其是在关键基础设施。 新成立CWE-CAPEC ICS / OT团体将提供一个论坛,让研究人员和技术代表组织操作在ICS / OT的设计、制造、和安全互动,分享意见和专业知识,利用彼此的经验支持持续增长,采用CWE的共同语言定义ICS /不安全弱点及其相关的攻击模式。 启动仪式将在周三举行,2022年5月18日下午从三点到四点半。 额外的信息,包括加入,如何看待CWE-CAPEC ICS /团体公告。 CWE / CAPEC董事会电话会议纪要和会议在8月17日 2022年4月18日|分享这篇文章 的CWE / CAPEC董事会2022年2月15日举行了电话会议。读了会议纪要。 CWE / CAPEC播客:“为什么思科使用CWE而看着修复漏洞” 2022年3月23日|分享这篇文章 CWE / CAPEC计划的“禁止入内的读“播客是致力于帮助社区,保护系统通过了解弱点和攻击模式在软件和硬件。 在我们的第七集。”为什么思科使用CWE而观察修复漏洞,“我们跟思科的蒂姆•Wadhwa-Brown安全研究和进攻的安全专业服务在欧洲和贾里德·彭德尔顿,先进的安全倡议集团关于思科使用CWE发现和修复漏洞。他们觉得它有用帮助分类类型的漏洞,以帮助确定未来可能的漏洞的根本原因。
播客是免费的CWE / CAPEC计划在YouTube频道,界外Buzzsprout阅读页面,或者在播客的平台上。 请给播客一听,让我们知道你的想法,在推特上评论@cwecapec或者直接发送的消息,电子邮件我们capec@.mitre.org或cwe@.mitre.org。我们期待着你! 加入CWE / CAPEC REST API工作小组! 2022年3月23日|分享这篇文章 ”的目标CWE / CAPEC REST API工作组”是为了缓解安全软件和硬件之间的接口架构师、EDA工具开发人员,验证工程师关心减轻安全风险在他们的产品;和数据库本身。将设计一个新的RESTful API。 查看邀请加入工作组从亚当Cron的Synopsys对此主席CWE / CAPEC REST API工作组。 CWE / CAPEC播客:“超出缓冲区溢出:发现软件中的弱点,拉里Cashdollar”的采访 2022年2月22日|分享这篇文章 CWE / CAPEC计划的“禁止入内的读“播客是致力于帮助社区,保护系统通过了解弱点和攻击模式在软件和硬件。 在我们的第六集。”超出了缓冲区溢出:找到软件的弱点,采访拉里Cashdollar,“拉里CashdollarAkamai讨论了在许多类型的弱点cf他发现CVE编号权威以及这些弱点的频率发生了变化。CAPEC也提到过。
播客是免费的CWE / CAPEC计划在YouTube频道,界外Buzzsprout阅读页面,或者在播客的平台上。 请给播客一听,让我们知道你的想法,在推特上评论@cwecapec或者直接发送的消息,电子邮件我们capec@.mitre.org或cwe@.mitre.org。我们期待着你! CWE / CAPEC博客:“注意你的正则表达式也可以把你的程序进入一个无限循环” 2022年2月1日|分享这篇文章 CWE团队的“介意你的正则表达式也可以把你的程序进入一个无限循环“博客文章讨论如何如果你的项目使用或正则表达式实现,你需要检查他们的弱点可能允许攻击者阻止程序工作。 读了完整的文章CWE / CAPEC博客媒介。 CWE / CAPEC博客:“HTTP Desync:终极版和演化的HTTP走私和分裂攻击技术” 2022年1月13日|分享这篇文章 CWE团队的“HTTP Desync: HTTP回来的和进化的走私和分裂攻击技术“博客提供了一条引物常常合并HTTP(响应/请求)(分裂/走私)攻击技术以及有关的信息常见的攻击模式枚举和分类(CAPEC™)条目可能有助于进一步区分这两个概念。 读了完整的文章CWE / CAPEC博客媒介。 CWE / CAPEC董事会批准董事会章程的1.0版本 2022年1月10日|分享这篇文章 的CWE / CAPEC董事会批准的1.0版本”CWE / CAPEC董事会章程”2022年1月7日。合同包括两个主要部分,“董事会的概述和成员的责任”和“董事会成员和操作,”以及“董事会章程回顾”部分描述的过程更新合同。随着特许文档的1.0版本,委员会也批准了“CWE / CAPEC计划专业行为准则”。 CWE / CAPEC通信调查 2022年1月6日|分享这篇文章 CWE / CAPEC程序请求你的反馈对我们的沟通努力。我们想了解你想覆盖在我们的话题CWE / CAPEC博客和禁止入内的读播客,还有其他你想看到或了解更多吗? 请回复我们的“CWE / CAPEC通信调查“今天,分享你的想法! CWE / CAPEC Jason Fung董事会成员讨论最重要的硬件cw播客 2022年1月6日|分享这篇文章 听CWE / CAPEC董事会成员杰森的冯英特尔讨论2021年最重要的硬件缺陷列表及其对硬件安全行业的潜在影响英特尔的芯片和莎莎播客。
更多的信息是可用的,请选择一个不同的过滤器。
|
