Загальний перелік вразливостей
Загальний перелік вразливостей (англ. Common Weakness Enumeration, CWE) — система категорій для слабких місць і вразливостей програмного забезпечення. Він підтримується проектом спільноти, метою якого є розуміння недоліків програмного забезпечення та створення автоматизованих інструментів, які можна використовувати для виявлення, виправлення та запобігання цих недоліків.[1] Проект спонсорується Національним федеральним науково-дослідним центром кібербезпеки США[en], ним керує MITRE Corporation[en], за підтримки US-CERT[en] та Національного управління кібербезпеки Міністерства національної безпеки США.[2]
Версія 4.5 стандарту CWE була випущена в липні 2021 року.[3][4]
CWE має понад 600 категорій, включаючи класи для переповнення буфера, помилки обходу дерева шляхів/каталогів, стан гонки, міжсайтовий скриптинг, жорстко закодовані паролі та небезпечну генерацію випадкових чисел.[5]
Приклади
ред.- Категорія CWE 121 призначена для переповнення буфера у стеку.[6]
Сумісність із CWE
ред.Програма сумісності Common Weakness Enumeration (CWE) дозволяє перевіряти послугу або продукт і реєструвати їх як офіційні «CWE-сумісні» та «CWE-ефективні». Програма допомагає організаціям вибрати правильні програмні інструменти та дізнатися про можливі слабкі сторони та їх можливий вплив.
Щоб отримати статус сумісного з CWE, продукт або послуга повинні відповідати 4 з 6 вимог, наведених нижче:
| Пошук по CWE | користувачі можуть здійснювати пошук елементів безпеки за допомогою ідентифікаторів CWE |
| Вивід CWE | елементи безпеки, представлені користувачам, включають або дозволяють користувачам отримувати пов’язані ідентифікатори CWE |
| Точність відображення | елементи безпеки точно посилаються на відповідні ідентифікатори CWE |
| Документація CWE | документація щодо можливостей описує CWE, сумісність із CWE та як використовуються пов’язані з CWE функціональні можливості |
| Покриття CWE | для CWE-сумісності та CWE-ефективності, документація можливості чітко перелічує CWE-ID, які підтверджують можливість покриття та ефективність щодо розташування в програмному забезпеченні |
| Результати тестування CWE | для CWE-ефективності, доступні результати тестування, що показують результати оцінки програмного забезпечення для CWE, розміщені на вебсайті CWE |
Станом на вересень 2019 року існує 56 організацій, які розробляють та підтримують продукти та послуги, які отримали статус CWE Compatible.[7]
Дослідження, критика та нові розробки
ред.Деякі дослідники вважають, що двозначності в CWE можна уникнути або зменшити.[8]
Див. також
ред.Примітки
ред.- ↑ CWE - About CWE. at mitre.org. Архів оригіналу за 15 серпня 2011. Процитовано 7 березня 2022.
- ↑ National Vulnerabilities Database CWE Slice [Архівовано 21 квітня 2021 у Wayback Machine.] at nist.gov
- ↑ CWE News. at mitre.org. Архів оригіналу за 20 березня 2021. Процитовано 7 березня 2022.
- ↑ Common Weakness Enumeration Version 4.5. The MITRE Corporation. Архів оригіналу за 5 вересня 2021. Процитовано 3 жовтня 2021.
- ↑ The Bugs Framework (BF) / Common Weakness Enumeration (CWE) [Архівовано 14 квітня 2021 у Wayback Machine.] at nist.gov
- ↑ CWE-121: Stack-based Buffer Overflows. Архів оригіналу за 14 квітня 2021. Процитовано 7 березня 2022.
- ↑ CWE - CWE-Compatible Products and Services. at mitre.org. Архів оригіналу за 14 квітня 2021. Процитовано 7 березня 2022.
- ↑ Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. Towards a “Periodic Table” of Bugs [Архівовано 14 квітня 2021 у Wayback Machine.]
Джерела
ред.- Certifying Applications for Known Security Weaknesses. The Common Weakness Enumeration (CWE) Effort [Архівовано 7 березня 2022 у Wayback Machine.] // 6 March 2007
- Classes of Vulnerabilities and Attacks (PDF). Wiley Handbook of Science and Technology for Homeland Security. comparison of different vulnerability Classifications. Архів оригіналу (PDF) за 22 березня 2016.
{{cite web}}: Cite має пустий невідомий параметр:|df=(довідка)