实现,代码中的错误,让产品和系统设计、架构网络攻击。由于发现常见软件弱点有助于消除他们早,横切创建了一个常用的弱点类型列表。
了解你的薄弱的环节:消除网络缺陷暴露弱点
有句老话:一环没有坚固程度取决于它最薄弱的环节。这是适用于软件和其他cyber-connected系统钢。超过15年,横切帮助网络社区识别那些“链接”。
利用专业软件开发和安全的社区,我们积累了常见的软件缺陷类型列表,可以访问和世界各地的任何引用。创建于2006年,常见的弱点枚举(CWE™)列表已发展到近1000记录软件弱点和现在包括硬件领域。
“每一个新的语言,框架,或技术引入了新的弱点,“说CWE联合创始人史蒂夫•Christey绿青鳕,横切主要网络安全工程师。
CWE: CVE资源与深厚的根基
1999年,斜接了常见的漏洞和风险(CVE®)项目的基本资源识别、定义、编目公开的网络安全漏洞。从那时起,CVE已经成为黄金标准来识别编号和漏洞,到目前为止有165518多。
七年后CVE的发射,斜接团队负责其形成想清楚地识别和分类导致这些漏洞的根本原因。努力成为CWE的基础,现在迎来了15th周年纪念日。
CWE和CVE的两部分是三斜方创建暴露弱点。CWE弱点类型列表。CVE捕获特定实例的弱点明显可利用的类型。第三个元素,常见的攻击模式枚举和分类(CAPEC™),细节的攻击模式或执行流的敌人利用的弱点。
为更广泛的网络社区有价值的信息
CWE教育软件架构师,设计师,程序员,和收购专业人士如何消除产品交付之前最常见的弱点。
CWE也延伸到更少的技术专业人员的使用。例如,CWE前25位最危险的软件缺陷列表帮助项目经理和营销人员和供应商谈论他们所使用的软件是否避免了错误引用在每年更新列表。
CWE、CVE CAPEC创建一个全面的网络信息在政府和产业价值,从操作系统和安全工具厂商的代表学术界、政府部门和研究机构。
有什么新的CWE吗?
CWE不断发展来支持它的用户。仅在2021年,斜接了几个社区参与计划进一步提高CWE程序。
- 硬件CWE特殊利益集团提供了一个途径的设计、制造、安全域培养CWE的共同语言定义硬件的安全漏洞。
- CWE / CAPEC博客探讨趋势安全漏洞并提供见解,以及可能的解决方案通过适当的连续波和CAPEC映射条目。
- CWE / CAPEC用户体验工作小组定义CWE的目标观众,哪些类型的内容为各种使用场景是最重要的。
- 的禁止入内的播客为安全从业者提供了一个机会去学习更多关于CWE和CAPEC项目。
"对我来说,没有比这更好的度量CWE的价值比社区的意愿与我们合作来更好地服务他们的需求,”副项目领导CWE / CAPEC表示亚历克·萨默斯(lawrence Summers)一个横切网络安全工程师。“CWE帮助组织通过提供有用的和可消费的信息,他们可以用它来避免常见的错误,会影响他们的任务。”
为个人和组织希望参与CWE访问CWE社区页面。