通用缺陷列表

通用缺陷列表(Common Weakness Enumeration, CWE)是一個對軟件脆弱性和易受攻擊性的一個分類系統。它由一個的開源社區工程維持,該社區有理解軟件中的瑕疵並創作對自動化工具去識別、修復並防止這些瑕疵的願景[1]。該工程由下屬於Mitre集團公司英語Mitre Corporation美國聯邦基金研究發展中心-國家網絡安全小組英語National Cybersecurity FFRDC資助,並得到了來自美國國家網絡應急中心英語United States Computer Emergency Readiness Team美國國土安全部國家網絡安全辦公室英語国家网络安全办公室的支持。[2]通用缺陷列表標準3.2版本在2019年1月發佈。[3]通用缺陷列表有超過600個的分類,包括緩衝溢出,路徑索引遍歷樹錯誤,競爭狀態條件跨站腳本,硬編碼密碼以及不安全隨機數等。[4] 目前市面上有一些軟件可以提供CWE的檢查,如Polyspace、LDRA、Axivion Suite。

實例

通用缺陷列表分類-121 是基於棧的緩衝溢出定義。[5]

通用缺陷列表兼容性 

通用缺陷列表兼容性項目允許一個服務或產品被審核並被官方地註冊為「通用缺陷列表兼容的」和「通用缺陷列表有效的」。該項目協助組織選擇正確的軟件工具並了解到可能的脆弱性和它的影響。為了獲得通用缺陷列表兼容的狀態,一個產品或者一個服務必須滿足下列6項中的4項要求:

通用缺陷列表-可搜索的 用戶可用通用缺陷列表標識符查找安全元素
通用缺陷列表-輸出 呈現給用戶的安全元素包括,或允許用戶通過通用缺陷列表標識符獲得
映射準確性 安全元素能準確的連結到合適的通用缺陷列表標識符
通用缺陷列表文檔 描述通用缺陷列表的功能性文檔和通用缺陷列表兼容性,以及通用缺陷列表相關的功能是怎樣使用的
通用缺陷列表覆蓋 對於通用缺陷列表兼容性和有效性,功能性文檔顯示地列出了通用缺陷標識號,使得
通用缺陷列表測試結果 對於通用缺陷列表有效性,來自於功能性的測試結果展現了軟件評估的結果,並會被展示在通用缺陷列表網站上

截止2018年1月,一共有48家組織開發並維護達到通用缺陷列表兼容性的產品和服務。[6]

研究,批評和新發展

一些研究者認為通用缺陷列表中模稜兩可的部分可以被避免或減少。[7]

參見

參考資料

  1. ^ Miter Corp. CWE-About CWE. [2019-03-11]. (原始內容存檔於2011-08-15). 
  2. ^ nist.gov. NATIONAL VULNERABILITY DATABASE. [2019-03-11]. (原始內容存檔於2021-04-21). 
  3. ^ The Mitre Corp. CWE Version 3.2 Now Available. [2019-03-11]. (原始內容存檔於2021-03-20). 
  4. ^ nist.gov. Common Weakness Enumeration (CWE) Class. [2019-03-11]. (原始內容存檔於2021-04-14). 
  5. ^ The Mitre Corp. CWE-121: Stack-based Buffer Overflow. [2019-03-11]. (原始內容存檔於2021-04-14). 
  6. ^ CWE Community. CWE-Compatible Products and Services. [2019-03-11]. (原始內容存檔於2021-04-14). 
  7. ^ Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. Towards a “Periodic Table” of Bugs. [2019-03-11]. (原始內容存檔於2021-04-14).