常见的弱点枚举

CWE术语表定义

常见问题(FAQ)

常见问题(FAQ)

这是如何不同于OWASP十大?

简短的回答是,OWASP前十名包括更一般的概念和专注于web应用程序。CWE前25涵盖更广泛的问题比来自OWASP前十名的以web为中心的视图,如缓冲区溢出。同时,CWE前25的目标之一是在一个水平,是程序员直接执行,所以它包含更详细的问题比在前十名中使用的类别。有一些重叠,然而,因为web应用程序是如此普遍,和一些问题在排名前十的通用应用程序类的软件。

名单上的弱点优先怎么样?

除了输入验证被列为1号(部分为教育目的),没有具体的优先级。优先级不同广泛取决于观众(如web应用程序开发人员和系统开发人员)和风险承受能力(是否代码执行,数据盗窃,或拒绝服务更重要)。也相信使用类别将帮助文档的组织,和优先级将处以不同的排序。

你为什么包括重叠的概念,比如输入验证和XSS,或不正确的计算和缓冲区溢出?为什么你有混合的抽象级别吗?

虽然是理想的一个固定的抽象层次,没有重叠的弱点,这不是有几个原因。

贡献者有时建议不同CWE密切相关的标识符。在某些情况下,这种差异是通过使用一个更抽象的CWE标识符覆盖相关的案件。

在其他情况下,有强烈支持包括低级问题,如SQL注入和跨站点脚本,所以这些被添加。然而,总的趋势是使用更抽象的弱点类型。

虽然它可能需要最小化重叠在前25名中,很多漏洞处理2个或更多的弱点之间的交互。例如,外部控制的用户状态数据(cwe - 642)可能是一个重要的缺点,使跨站点脚本(cwe - 79)和SQL注入(cwe - 89)。消除重叠在前25名中就会失去一些重要的微妙。

最后,这是一个有意识的决定,如果有足够的发病率和严重程度,设计相关的缺点将被包括在内。这些通常被认为是更抽象的在实施过程中出现的缺陷。

排名前25位的列表试图之间取得微妙的平衡可用性和相关性,我们相信它,即使这个明显的缺陷。

你为什么不使用硬统计数据来支持你的说法吗?

适当的统计数据没有公开。公开的统计数据是太高级或者不够全面。和他们都没有综合所有软件类型和环境。

举个例子,在2006年的CVE漏洞趋势报告,25%的报道CVE要么信息不足,或不能使用CVE的37个缺陷类型特征类别。同一份报告仅覆盖公开报道的漏洞,所以类型的问题可能不同于安全顾问发现(和他们经常禁止披露他们的发现)。

最后,一些前25捕捉的主要弱点(根源)漏洞——如CWE-20、cwe - 116和cwe - 73。然而,这些根源很少或跟踪报道。

为什么这么多东西相关的web应用程序?

只有cwe - 79 (XSS)和cwe - 352 (CSRF)在web应用程序中是独一无二的。其他条目适用于其他类型的软件,尽管他们可能在web应用程序中非常常见,如SQL注入。换句话说,明显偏向于web应用程序并不像看上去的那么糟。说服自己,看个人的观察和示范例子CWE网站页面。

你为什么包括移植在前25名中而不是指向他们CWE网站吗?

由于开发人员的主要观众之一,它相信他们的重点将是气候变化,许多开发人员可能希望在编程过程中打印出排名前25位的咨询。所以,这是一个方便的问题。此外,移植在CWE条目可能随时间改变。在未来排名前25位的列表,我们将确定移植将符合他们CWE条目的时候释放。

你为什么包括设计问题?我认为这是程序员。

目标受众是开发人员,而不是程序员。另外,在一些软件商店,程序员做一些当地的设计除了实现。

有什么区别“弱点”和vulnerabilitiy ?

那实际上是一个深奥的哲学问题,convoluted-sounding回答。简短的答案是,一个弱点只是一般类型的开发人员错误,独立于上下文的错误发生。有时,它可能没有任何安全的相关性。然而,当弱点出现在部署软件,它是在一个地方可能是容易被攻击者的代码,那么它可能会变成一个漏洞如果条件是正确的。它可能包括其他的存在弱点,例如。

更为复杂的问题是所使用的不同的观点和不一致的术语在软件安全,仍然是一个相对较新的领域(尤其是相比,桥梁工程)。人们不同的观点可能使用相同的术语,或专注于一个问题的不同方面。例如,根据不同的人来说,这句话“缓冲区溢出”可能意味着程序员错误的类型,类型的攻击,或者结果的类型。CWE(前25名)必须使用许多人使用这些不同的观点,所以必定混乱,直到这个行业的成熟。

为什么这个列表有这么多常见的疾病?关于新的弱点,刚刚开始成为一个问题呢?

我们收到了伟大的软件供应商和顾问的反馈可能是远远领先于曲线的一般开发人员的代码安全。因此,他们通常会解决基本问题,跑到更新的弱点。我们正在努力平衡这些尖端专家的经验与日常开发人员可能会遇到什么。

那些在前沿可以考虑进一步检查低级CWE条目(例如CWE - 119有一些更新的变体)。他们也可以回顾一下“尖端”附录中,列出了其他连续波,几乎到前25名。这个附录是CWE的网站。

这是如何不同于七有害的王国分类?

七个致命的王国(7 pk)不优先考虑它包含的缺陷,导致病菌与不同的严重性和普遍性。七有害的王国和前25名开发人员的目标受众,但7 pk关注错误,介绍了在实现。前25名中涵盖了可能出现的问题,在实现设计、配置、安装、和其他SDLC阶段。七个致命的王国分类法也使用相对较少的类别使开发人员更容易记住,前25位是平坦的列表,为更广泛的覆盖可用性的小费用。最后,直接输入的前25位出现了几十个人的支持和广泛的信息CWE条目。综上所述,我们认为,七个致命的王国是一个重要的分类的理解软件的弱点,和它的影响反映在CWE的大部分地区。