通用缺陷列表

通用缺陷列表(Common Weakness Enumeration, CWE)是一个对软件脆弱性和易受攻击性的一个分类系统。它由一个的开源社区工程维持,该社区有理解软件中的瑕疵并创作对自动化工具去识别、修复并防止这些瑕疵的愿景[1]。该工程由下属于Mitre集团公司英语Mitre Corporation美国联邦基金研究发展中心-国家网络安全小组英语National Cybersecurity FFRDC资助,并得到了来自美国国家网络应急中心英语United States Computer Emergency Readiness Team美国国土安全部国家网络安全办公室英语国家网络安全办公室的支持。[2]通用缺陷列表标准3.2版本在2019年1月发布。[3]通用缺陷列表有超过600个的分类,包括缓冲溢出,路径索引遍历树错误,竞争状态条件跨站脚本,硬编码密码以及不安全随机数等。[4] 目前市面上有一些软体可以提供CWE的检查,如Polyspace、LDRA、Axivion Suite。

实例

通用缺陷列表分类-121 是基于栈的缓冲溢出定义。[5]

通用缺陷列表兼容性 

通用缺陷列表兼容性项目允许一个服务或产品被审核并被官方地注册为“通用缺陷列表兼容的”和“通用缺陷列表有效的”。该项目协助组织选择正确的软件工具并了解到可能的脆弱性和它的影响。为了获得通用缺陷列表兼容的状态,一个产品或者一个服务必须满足下列6项中的4项要求:

通用缺陷列表-可搜索的 用户可用通用缺陷列表标识符查找安全元素
通用缺陷列表-输出 呈现给用户的安全元素包括,或允许用户通过通用缺陷列表标识符获得
映射准确性 安全元素能准确的链接到合适的通用缺陷列表标识符
通用缺陷列表文档 描述通用缺陷列表的功能性文档和通用缺陷列表兼容性,以及通用缺陷列表相关的功能是怎样使用的
通用缺陷列表覆盖 对于通用缺陷列表兼容性和有效性,功能性文档显示地列出了通用缺陷标识号,使得
通用缺陷列表测试结果 对于通用缺陷列表有效性,来自于功能性的测试结果展现了软件评估的结果,并会被展示在通用缺陷列表网站上

截止2018年1月,一共有48家组织开发并维护达到通用缺陷列表兼容性的产品和服务。[6]

研究,批评和新发展

一些研究者认为通用缺陷列表中模棱两可的部分可以被避免或减少。[7]

参见

参考资料

  1. ^ Miter Corp. CWE-About CWE. [2019-03-11]. (原始内容存档于2011-08-15). 
  2. ^ nist.gov. NATIONAL VULNERABILITY DATABASE. [2019-03-11]. (原始内容存档于2021-04-21). 
  3. ^ The Mitre Corp. CWE Version 3.2 Now Available. [2019-03-11]. (原始内容存档于2021-03-20). 
  4. ^ nist.gov. Common Weakness Enumeration (CWE) Class. [2019-03-11]. (原始内容存档于2021-04-14). 
  5. ^ The Mitre Corp. CWE-121: Stack-based Buffer Overflow. [2019-03-11]. (原始内容存档于2021-04-14). 
  6. ^ CWE Community. CWE-Compatible Products and Services. [2019-03-11]. (原始内容存档于2021-04-14). 
  7. ^ Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. Towards a “Periodic Table” of Bugs. [2019-03-11]. (原始内容存档于2021-04-14).