Загальний перелік вразливостей (англ. Common Weakness Enumeration, CWE) — система категорій для слабких місць і вразливостей програмного забезпечення. Він підтримується проектом спільноти, метою якого є розуміння недоліків програмного забезпечення та створення автоматизованих інструментів, які можна використовувати для виявлення, виправлення та запобігання цих недоліків. Проект спонсорується [en], ним керує [en], за підтримки [en] та Національного управління кібербезпеки Міністерства національної безпеки США.
Версія 4.5 стандарту CWE була випущена в липні 2021 року.
CWE має понад 600 категорій, включаючи класи для переповнення буфера, помилки обходу дерева шляхів/каталогів, стан гонки, міжсайтовий скриптинг, жорстко закодовані паролі та небезпечну генерацію випадкових чисел.
Приклади
- Категорія CWE 121 призначена для переповнення буфера у стеку.
Сумісність із CWE
Програма сумісності Common Weakness Enumeration (CWE) дозволяє перевіряти послугу або продукт і реєструвати їх як офіційні «CWE-сумісні» та «CWE-ефективні». Програма допомагає організаціям вибрати правильні програмні інструменти та дізнатися про можливі слабкі сторони та їх можливий вплив.
Щоб отримати статус сумісного з CWE, продукт або послуга повинні відповідати 4 з 6 вимог, наведених нижче:
Пошук по CWE | користувачі можуть здійснювати пошук елементів безпеки за допомогою ідентифікаторів CWE |
Вивід CWE | елементи безпеки, представлені користувачам, включають або дозволяють користувачам отримувати пов’язані ідентифікатори CWE |
Точність відображення | елементи безпеки точно посилаються на відповідні ідентифікатори CWE |
Документація CWE | документація щодо можливостей описує CWE, сумісність із CWE та як використовуються пов’язані з CWE функціональні можливості |
Покриття CWE | для CWE-сумісності та CWE-ефективності, документація можливості чітко перелічує CWE-ID, які підтверджують можливість покриття та ефективність щодо розташування в програмному забезпеченні |
Результати тестування CWE | для CWE-ефективності, доступні результати тестування, що показують результати оцінки програмного забезпечення для CWE, розміщені на вебсайті CWE |
Станом на вересень 2019 року існує 56 організацій, які розробляють та підтримують продукти та послуги, які отримали статус CWE Compatible.
Дослідження, критика та нові розробки
Деякі дослідники вважають, що двозначності в CWE можна уникнути або зменшити.
Див. також
Примітки
- CWE - About CWE. at mitre.org. Архів оригіналу за 15 серпня 2011. Процитовано 7 березня 2022.
- National Vulnerabilities Database CWE Slice [Архівовано 21 квітня 2021 у Wayback Machine.] at nist.gov
- CWE News. at mitre.org. Архів оригіналу за 20 березня 2021. Процитовано 7 березня 2022.
- Common Weakness Enumeration Version 4.5. The MITRE Corporation. Архів оригіналу за 5 вересня 2021. Процитовано 3 жовтня 2021.
- The Bugs Framework (BF) / Common Weakness Enumeration (CWE) [Архівовано 14 квітня 2021 у Wayback Machine.] at nist.gov
- CWE-121: Stack-based Buffer Overflows. Архів оригіналу за 14 квітня 2021. Процитовано 7 березня 2022.
- CWE - CWE-Compatible Products and Services. at mitre.org. Архів оригіналу за 14 квітня 2021. Процитовано 7 березня 2022.
- Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. Towards a “Periodic Table” of Bugs [Архівовано 14 квітня 2021 у Wayback Machine.]
Джерела
- Certifying Applications for Known Security Weaknesses. The Common Weakness Enumeration (CWE) Effort [Архівовано 7 березня 2022 у Wayback Machine.] // 6 March 2007
- Classes of Vulnerabilities and Attacks (PDF). Wiley Handbook of Science and Technology for Homeland Security. comparison of different vulnerability Classifications. Архів оригіналу (PDF) за 22 березня 2016.
{{}}
: Cite має пустий невідомий параметр:|df=
()
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Zagalnij perelik vrazlivostej angl Common Weakness Enumeration CWE sistema kategorij dlya slabkih misc i vrazlivostej programnogo zabezpechennya Vin pidtrimuyetsya proektom spilnoti metoyu yakogo ye rozuminnya nedolikiv programnogo zabezpechennya ta stvorennya avtomatizovanih instrumentiv yaki mozhna vikoristovuvati dlya viyavlennya vipravlennya ta zapobigannya cih nedolikiv 1 Proekt sponsoruyetsya Nacionalnim federalnim naukovo doslidnim centrom kiberbezpeki SShA en nim keruye MITRE Corporation en za pidtrimki US CERT en ta Nacionalnogo upravlinnya kiberbezpeki Ministerstva nacionalnoyi bezpeki SShA 2 Versiya 4 5 standartu CWE bula vipushena v lipni 2021 roku 3 4 CWE maye ponad 600 kategorij vklyuchayuchi klasi dlya perepovnennya bufera pomilki obhodu dereva shlyahiv katalogiv stan gonki mizhsajtovij skripting zhorstko zakodovani paroli ta nebezpechnu generaciyu vipadkovih chisel 5 Zmist 1 Prikladi 2 Sumisnist iz CWE 3 Doslidzhennya kritika ta novi rozrobki 4 Div takozh 5 Primitki 6 DzherelaPrikladired Kategoriya CWE 121 priznachena dlya perepovnennya bufera u steku 6 Sumisnist iz CWEred Programa sumisnosti Common Weakness Enumeration CWE dozvolyaye pereviryati poslugu abo produkt i reyestruvati yih yak oficijni CWE sumisni ta CWE efektivni Programa dopomagaye organizaciyam vibrati pravilni programni instrumenti ta diznatisya pro mozhlivi slabki storoni ta yih mozhlivij vpliv Shob otrimati status sumisnogo z CWE produkt abo posluga povinni vidpovidati 4 z 6 vimog navedenih nizhche Poshuk po CWE koristuvachi mozhut zdijsnyuvati poshuk elementiv bezpeki za dopomogoyu identifikatoriv CWE Vivid CWE elementi bezpeki predstavleni koristuvacham vklyuchayut abo dozvolyayut koristuvacham otrimuvati pov yazani identifikatori CWE Tochnist vidobrazhennya elementi bezpeki tochno posilayutsya na vidpovidni identifikatori CWE Dokumentaciya CWE dokumentaciya shodo mozhlivostej opisuye CWE sumisnist iz CWE ta yak vikoristovuyutsya pov yazani z CWE funkcionalni mozhlivosti Pokrittya CWE dlya CWE sumisnosti ta CWE efektivnosti dokumentaciya mozhlivosti chitko perelichuye CWE ID yaki pidtverdzhuyut mozhlivist pokrittya ta efektivnist shodo roztashuvannya v programnomu zabezpechenni Rezultati testuvannya CWE dlya CWE efektivnosti dostupni rezultati testuvannya sho pokazuyut rezultati ocinki programnogo zabezpechennya dlya CWE rozmisheni na vebsajti CWE Stanom na veresen 2019 roku isnuye 56 organizacij yaki rozroblyayut ta pidtrimuyut produkti ta poslugi yaki otrimali status CWE Compatible 7 Doslidzhennya kritika ta novi rozrobkired Deyaki doslidniki vvazhayut sho dvoznachnosti v CWE mozhna uniknuti abo zmenshiti 8 Div takozhred Common Vulnerabilities and Exposures CVE Zagalna sistema ocinki vrazlivostej Nacionalna baza danih vrazlivostejPrimitkired CWE About CWE at mitre org Arhiv originalu za 15 serpnya 2011 Procitovano 7 bereznya 2022 National Vulnerabilities Database CWE Slice Arhivovano 21 kvitnya 2021 u Wayback Machine at nist gov CWE News at mitre org Arhiv originalu za 20 bereznya 2021 Procitovano 7 bereznya 2022 Common Weakness Enumeration Version 4 5 The MITRE Corporation Arhiv originalu za 5 veresnya 2021 Procitovano 3 zhovtnya 2021 The Bugs Framework BF Common Weakness Enumeration CWE Arhivovano 14 kvitnya 2021 u Wayback Machine at nist gov CWE 121 Stack based Buffer Overflows Arhiv originalu za 14 kvitnya 2021 Procitovano 7 bereznya 2022 CWE CWE Compatible Products and Services at mitre org Arhiv originalu za 14 kvitnya 2021 Procitovano 7 bereznya 2022 Paul E Black Irena V Bojanova Yaacov Yesha Yan Wu 2015 Towards a Periodic Table of Bugs Arhivovano 14 kvitnya 2021 u Wayback Machine Dzherelared Certifying Applications for Known Security Weaknesses The Common Weakness Enumeration CWE Effort Arhivovano 7 bereznya 2022 u Wayback Machine 6 March 2007 Classes of Vulnerabilities and Attacks PDF Wiley Handbook of Science and Technology for Homeland Security comparison of different vulnerability Classifications Arhiv originalu PDF za 22 bereznya 2016 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Cite maye pustij nevidomij parametr df dovidka Otrimano z https uk wikipedia org w index php title Zagalnij perelik vrazlivostej amp oldid 35136072