行业新闻报道万博下载包
行业新闻报道万博下载包下面是一个综合月度审核CWE的新闻和其他媒体的报道。万博下载包简要总结列出的每个新闻条目的标题、作者(如果确定万博下载包),日期,和媒体源。
2015年12月 CWE中提到的“攻击”的最脆弱的向量在密码简短文章
CWE提到在2015年12月6日,文章题为“最脆弱的攻击向量“密码简短。本文采访的美国国土安全部(DHS)主任软件和供应链保证网络安全和通信乔哲伯克对“威胁面对供应链和最好的办法减轻他们。” CWE提到了哲伯克在回答问题最有效的方法,企业可以通过减轻他们的供应链风险,如下:“企业需要信号,草率的“制造业由潜在供应商网络卫生”是不可接受的。最好的信号是通过采购合同条款和条件需要应对不合格品验收标准和责任。作为采购实践的一部分,和之前被用于操作,ICT组件需要进行恶意软件检测,已知的漏洞(cf国家漏洞数据库),和可利用的弱点(cw)最适用于技术的部署环境——通过使用企业进行的测试或通过独立的第三方评估和认证”。
2015年11月 CWE中提到的“攻击”的最脆弱的向量在密码简短文章
2015年12月7日|分享这篇文章 CWE提到在2015年12月6日,文章题为“最脆弱的攻击向量“密码简短。本文采访的美国国土安全部(DHS)主任软件和供应链保证网络安全和通信乔哲伯克对“威胁面对供应链和最好的办法减轻他们。” CWE提到了哲伯克在回答问题最有效的方法,企业可以通过减轻他们的供应链风险,如下:“企业需要信号,草率的“制造业由潜在供应商网络卫生”是不可接受的。最好的信号是通过采购合同条款和条件需要应对不合格品验收标准和责任。作为采购实践的一部分,和之前被用于操作,ICT组件需要进行恶意软件检测,已知的漏洞(cf国家漏洞数据库),和可利用的弱点(cw)最适用于技术的部署环境——通过使用企业进行的测试或通过独立的第三方评估和认证”。 CWE产品功能在新闻发布会上被IAR引用系统
CWE是引用作为一个产品的特性在11月30日,2015年新闻发布题为“IAR系统提高8051与高度要求的静态代码分析工具“通过IAR系统。 CWE提到如下:“C-STAT功能创新的静态分析,可以发现缺陷,错误,和安全漏洞所定义的CERT C / c++和常见的弱点枚举(CWE),以及帮助保持代码兼容的编码标准像MISRA - C: 2004年,MISRA c++: 2008和MISRA - C: 2012。通过使用静态分析,可以识别错误,例如内存泄漏,违规访问,算术错误,数组和字符串超支处于初期阶段。这使开发人员确保代码质量和最小化误差的影响成品和项目时间表。” 阅读完整的新闻稿:https://www.iar.com/about-us/万博下载包newsroom/press/?releaseId=2053293。 CWE认为产品在新闻稿由列信息安全特性
CWE是引用作为一个产品的特性在11月19日,2015年新闻稿由列信息安全题为“列信息安全与Veracode宣布合作伙伴协议。" CWE的新闻稿开始提到的子弹数量2,4,如下:“网络边界安全——发现所有与客户相关的面向Web的应用程序——包括云端的网站,暂时的营销网站,并执行一个全面深度扫描快速识别高度可利用的漏洞如OWASP前十名和CWE / SANS。” 阅读完整的新闻稿:http://www.columninfosec.com/万博下载包news/column-information-security-announces-partner-agreement-with-veracode.html。 CWE-IDs引用ToolsWatch.org的“ICS / SCADA十大最危险的软件弱点”白皮书
CWE标识符(CWE-IDs)是用来唯一地标识所讨论的弱点在11月5日,题为“2015年白皮书ICS / SCADA十大最危险软件的弱点”在ToolsWatch.org上。 白皮书讨论作者的方法用于确定其十大弱点,然后使用以下CWE-IDs来唯一地标识:(1)cwe - 119:不当的操作限制的范围内一个内存缓冲区;(2)CWE-20:不适当的输入验证;(3)CWE-22:不当限制限制目录的路径名(“路径遍历”);(4)cwe - 264权限,权限和访问控制;(5)cwe - 200:信息风险;(6)cwe - 255:凭证管理;(7)cwe - 287:不适当的身份验证;(8)cwe - 399:资源管理错误;(9)cwe - 79:不当中和的输入在Web页面生成(“跨站点脚本编制”);(10)cwe - 189:数字错误。 作者还提供了额外的讨论每个弱点,然后列出了前5名供应商作者认为最受影响的每个十的弱点。 TechTarget CWE文章中提到的关于安全的应用程序开发
CWE提到11月2日,2015篇题为“问答:时代的安全应用程序开发mashupTechTarget”。本文采访Veracode首席战略官山姆王。 CWE回应中提到的一个问题是关于如何“…现在常见的混搭应用程序使用整个程序组件,生成的应用程序继承了一个错误堆栈的总和组成的组件的缺陷加上任何…”之间的相互作用,如下:“你需要一组商定的质量标准,与牙齿遵从性计划,为供应商信号符合这些标准,测试方法对于每个人都同意的遵从性,和一个明确的价值定位为企业和供应链,使其工作。我们开始看到一些碎片的上下文中实现供应商提供的应用程序之间的FS-ISAC推荐二进制静态测试,软件组件分析和VBSIMM(或等效,OpenSAMM);市场标准OWASP等测试,CWE / SANS最危险的软件错误Veracode的Verafied密封;包含软件PCI和供应链安全标准;和联邦诉讼的威胁网络安全的保护不足。对于利用第三方Web服务的mashup应用程序,这个模型,其中的一些特定的(风险规避)策略——可能有助于组织试图让他们拥抱这种风险。”
2015年10月 CWE条LTE移动网络在Fudzilla.com上的漏洞
2015年12月7日|分享这篇文章 CWE提到在2015年10月20日,文章题为“LTE网络邪恶的虫子”在Fudzilla.com上。本文的主题是“卡内基梅隆大学的证书数据库安全漏洞发布警报有关LTE(长期演进)移动网络的地位。” CWE提到如下:“技术有四个漏洞,允许攻击者恶搞电话号码,虚报客户,电话和网络上创建DoS攻击,并获得免费的数据传输不被起诉…CERT说四个漏洞(CWE CWE CWE - 732 - 284 - 287,和CWE - 384)允许攻击者利用一些不正确设置调用权限、能力之间建立直接的会议电话,身份验证对SIP消息,不当和错误,使攻击者建立多个会话相同的电话号码。” 访问cwe - 732:不正确的权限分配的关键资源;cwe - 284:不适当的访问控制;cwe - 287:不适当的身份验证;和cwe - 384:会话固定想要了解更多关于这些问题。 CWE文章中提到的关于医疗设备网络医学博士+ DI
CWE提到在2015年10月12日,文章题为“开始对医疗设备的网络安全“在医疗设备和诊断行业(MD + DI)。本文的主题是“应对网络安全在医疗设备可以恐吓,让制造商不知所措,不知道从哪里开始。” CWE提到如下:“解决网络安全的概念在医疗设备可以恐吓,让制造商不知所措,问他们应该开始的地方。在制定计划要去哪里之前,重要的是要找出你的立场。设备上执行漏洞评估目前在野外是一个伟大的方式来找出你在的地方,结果将使您能够确定哪些步骤可以采取提高设备的安全状况。利用等业界最佳实践无和CWE前25以及OWASP前十名常见的缺陷,在应用程序的安全。这些列表是美妙的针对性易于消化,可以采取措施提高设备或软件应用程序的安全。”
2015年9月 CWE /水煤浆CAPEC ITU中提到的“安全”2015年电信和信息技术
常见的弱点枚举(CWE™),常见的弱点评分系统(水煤浆™),常见的攻击模式枚举和分类(CAPEC™)包括在2015年9月的技术报告题为“2015年电信和信息技术安全“在国际电信联盟(ITU)的网站。报告的主题是“问题的概述和部署电信现有ITU-T建议安全。” CWE、水煤浆和CAPEC-as一样常见的漏洞和风险敞口(CVE®)和恶意软件属性枚举和表征(MAEC™)——中提到“第11章——网络安全事件反应,”如下:常见的漏洞和风险敞口(CVE)的主要话题是部分“11.1.2漏洞信息的交换,“CWE的主要话题是部分“11.1.4弱点信息的交换”,水煤浆的主要话题是部分“11.1.5弱点得分,”的主要话题是CAPEC节“11.1.5攻击模式信息的交换,和恶意软件属性枚举和截面特性(MAEC)是主要的主题“11.1.7恶意软件特征信息的交换”。 该报告是可供免费下载:http://www.itu.int/dms_pub/itu - t/opb/tut/t图坦卡蒙e.pdf——秒- 2015 pdf。 CWE方案中提到的新闻发布会上宣布新规范来衡量结构的软件质量
CWE提到在2015年9月15日的新闻稿的财团,软件质量(方案)题为“财团的软件质量宣布新规范来衡量结构的软件质量”。新闻稿的主要话题是方案宣布释放“新的测量规范基于检测可靠性的缺陷,安全,性能的软件应用程序的效率和可维护性。这些质量度量可以用来评估软件密集型系统的风险等来源非法侵入,中断、数据损坏、降解性能和过度复杂性。” CWE提到如下:“方案及措施由计数违反良好的架构和编码实践,严重到足以是修复的优先。例如,安全措施来源于前25名违反良好的编码实践如SQL注入、缓冲区溢出,跨站点脚本允许未经授权的入侵和数据盗窃。这个列表来自共同的弱点枚举(CWE)库是由斜方管理公司。manbetx客户端首页可靠性度量包含块空异常,未释放的资源,循环依赖和其他违规行为导致中断和缓慢的复苏时间。性能效率包括编码的弱点,比如昂贵的循环操作,un-indexed数据访问和未释放的内存,降低响应时间和过度使用资源。可维护性措施包括编码的弱点,比如过度耦合,死代码,和硬编码的文字过于昂贵,维护和增强defect-prone。” 此外,释放还宣布,方案将于10月15日举办研讨会,2015年由罗伯特·马丁,CWE项目经理/方案及安全措施的合著者检测软件中的网络安全问题,题为“网络安全最新进展和新方案及安全标准”。网络研讨会免费向公众开放,但登记要求是必需的。 三条CWE-IDs引用漏洞在希捷硬盘发出询盘
三个CWE标识符(CWE-IDs)引用在9月8日2015篇题为“希捷问题解决无线硬盘后门漏洞“在询问者。本文的主题是希捷硬盘的漏洞发现,“CERT公告确认缺陷可以用来注入恶意文件到无线驱动,控制或感染连接设备”。 以下三个CWE-IDs引用,以及常见的漏洞和风险敞口(CVE®)标识符,来唯一地标识的三个问题:cwe - 798:使用硬编码的凭证和cve - 2015 - 2874;cwe - 425:直接请求(“强迫浏览”)和cve - 2015 - 2875;和cwe - 434:无限制上传文件与危险的类型和cve - 2015 - 2876。
2产品从Suresoft技术现在注册为正式“CWE-Compatible”
2015年7月 CWE文章中提到的关于商业和开放源代码合规安全周
CWE提到在2015年7月30日,文章题为“商业代码符合安全标准比开放源代码“安全周。本文的主题是Coverity的释放,Inc .) 2014年“Coverity扫描开源报告。”CWEis mentioned as follows: "Based on the analysis of more than 10 billion lines of code from thousands of open source and commercial products, experts have determined that while open source projects are doing a better job at addressing quality and security issues, enterprises take the lead when it comes to complying with security standards such as OWASP (Open Web Application Security Project) Top 10 and CWE (Common Weakness Enumeration) 25." CWE文章中提到的关于商业和开放源代码网安全合规
CWE提到在2015年7月30日,文章题为“商业代码符合安全标准比开放源代码“网络安全。本文的主题是Coverity的释放,Inc .) 2014年“Coverity扫描开源报告。”CWEis mentioned as follows: "This year the report also compared security compliance standards such as OWASP Top 10 and CWE 25, and found that commercial code is more compliant with these standards than open source code." CWE新闻稿中提到关于“Coverity扫描2014年开源报告”
CWE提到在2015年7月29日,由Coverity新闻稿,公司名为“Coverity扫描开源报告显示商业代码符合安全标准比开放源代码”。新闻稿的主要话题是出版的年度“Coverity扫描2014年开源报告。” CWE提到如下:“在新的Coverity详细扫描开源报告,近152000个缺陷是固定仅在2014年,超过总数量的缺陷被发现在前面的服务的历史。基于静态分析缺陷密度,开放源代码超过商业代码质量在2013年的报告。在2014年这一趋势继续下去;然而,今年的报告还比较安全合规标准,如OWASP(开放Web应用程序安全性项目)前十和CWE(常见的弱点枚举)25日,发现商业代码符合这些标准比开放源代码。” CWE篇关于紧缩中提到网络安全系统在信息时代
CWE提到在2015年7月29日,文章题为“美国OPM违反教导我们关于加强我们的安全系统“在信息时代。CWE节中提到的题为“保护网络和关键应用程序”列表,作者建议的预防措施:“最后,确保Web应用程序开发与OWASP和san / CWE安全编码指南”。 CWE列为产品特性在Waratek新闻稿
CWE提到在2015年7月27日,由Waratek新闻稿,公司名为“CRN的名字Waratek最酷的安全启动2015”。释放的主要话题是:“CRN,这对新闻频道的主要来源,将其命名为一个最酷的安全启动了2015年。万博下载包CRN Waratek认可的安全容器技术,创建了一个“防弹背心”部署的应用程序内部或者在云环境中。” CWE在新闻稿中提到如下:“上个月,Waratek宣布,它已经发展的能力为其锉产品消费CWE科协(常见的弱点枚举)报告工具,像惠普巩固,Veracode, Checkmarx和其他人立即生成规则,解决应用程序安全漏洞。”
2015年6月 CWE列为锉产品特性在Waratek新闻稿
CWE提到在2015年6月17日,由Waratek新闻稿,公司名为“Waratek集成自动化与运行时应用程序安全漏洞修复自我保护。”释放的主要话题是Waratek添加自动化为Java运行时应用程序安全漏洞修复其AppSecurity自我保护(锉)产品。 CWE在新闻稿中提到如下:“Waratek发展消费CWE的能力(常见的弱点枚举)报告形式科协与DAST工具,包括惠普巩固Veracode, Checkmarx和其他人立即生成规则,解决应用程序安全漏洞被无和OWASP。这完全自动化的工作流可以立即保护生产应用程序无需任何人工干预或配置。它也可以集成到软件开发生命周期”。 CWE认为产品在新闻稿IAS系统特性
CWE提到6月7日,2015年新闻稿IAR系统名为“IAR系统扩展了行业领先的瑞萨RX和静态代码分析工具。”的主题发布2.08版本的IAR嵌入式工作台RX补充道“集成通过C-STAT静态代码分析,这使得RX开发者可以完全控制他们的代码,并使公司节省宝贵的时间和金钱在他们的开发项目。” CWE在新闻稿中提到如下:“C-STAT是一个功能强大的静态分析工具,检查遵守规则定义的编码标准MISRA - C: 2004年,MISRA c++: 2008和MISRA - C: 2012年,以及数以百计的规则基础上,例如,CWE(常见的弱点枚举)和证书C / c++安全的编码标准。用户可以很容易地选择哪些规则集,哪些个人规则检查代码,并提供分析结果直接在IAR嵌入式工作台IDE。”
2015年4月 CWE文章中提到的关于管理安全风险在黑暗的阅读
CWE提到在2015年4月20日,文章题为“国土安全部:大多数组织需要改进管理安全风险“黑暗的阅读。本文的主题是“政府机构和私营部门的组织必须更加重视软件分析、测试和生命周期支持减轻威胁利用已知的漏洞和新途径打开使用开源和重用软件组件,根据美国国土安全部(DHS)。” CWE节中提到,题为“第三方代码和插件是web应用程序的弱点,”乔·哲伯克在评论主任软件和供应链保证国土安全部,如下:“SQL注入和Cross-Scripting构成了更频繁和危险的攻击向量。IT经理正在部署防火墙,入侵预防系统和非军事区,但仍然想知道为什么他们的系统损害。他们被利用在企业的“软肋”——应用程序软件。人知道cross-scripting和SQL注入攻击,但不明白它。“有人在你的团队应该知道(这些攻击)做什么和他们试图利用“哲伯克说。这些攻击,他们的事迹被称为共同弱点枚举(CWE)。以及如何抵御它们的攻击可以在找到免费的在线社区的字典由斜方corp .)和由国土安全部。”
2015年3月 CWE篇关于“软件过程”中提到的电子说明符
CWE提到在2015年3月27日,文章题为“软件作为一个过程“电子说明符。本文的主题是“今天的软件产品是由于许多供应商,供应商,开源库和遗留代码一起在混合不同的流程,标准和文化。每个输入提供了一个机会介绍安全、安全、或绩效的错误。”"Whether it's the shift towards agile, continuous integration, or the adoption of new standards, embracing new ways of developing software hits organisations where it counts: the delivered product." CWE当作者提到:“一个方法被证明是成功的减轻安全风险是使用自动化代码分析寻找潜在的缺陷。酸豆琼斯Namcook分析发现,没有工具,如静态代码分析(SCA),开发人员有效地发现缺陷不到50%在他们自己的软件。SCA是善于理解代码和行为模式,跨多个编译单元和开发者,揭示安全漏洞如缓冲区溢出、可疑的输入数据和用户输入。更复杂的SCA工具还可以比较代码对常见的安全标准,OWASP和CWE等,确定覆盖面的或生成合规报告。而不是说服团队花更多的精力安全性测试,使用工具来减少对你和你的供应商的努力。” CWE文章中提到关于嵌入式计算确保嵌入式软件设计
CWE提到在2015年3月24日,文章题为“5步骤确保嵌入式软件“在嵌入式计算设计。 CWE首次提及如下:“这标准团体,像财团的软件质量(方案),斜方共同弱点枚举(CWE),ISO 9000和ISO 25000发布指导方针和软件质量标准。方案发表了自动化质量措施,安全、可靠性、效率、性能和可维护性。这些措施提供一些特定的属性,应该作为证据,嵌入式系统可能需要履行业务/任务功能。在检查嵌入式系统的状态,很明显,安全应该改造。” CWE再次提到了一段名为“遵循标准,”如下:“方案发表了一个安全标准,旨在确定排名前25位的安全漏洞的应用软件被称为由斜方的维护常见的弱点枚举(CWE)。连续波是可测集的项可以作为证据弹性,安全,安全。代码分析等投可以选择这些的复杂环境。开发人员应该保持跟外界的联系与这些重要标准。”
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|
