Загальний перелік вразливостей (англ. Common Weakness Enumeration, CWE) — система категорій для слабких місць і вразливостей програмного забезпечення. Він підтримується проектом спільноти, метою якого є розуміння недоліків програмного забезпечення та створення автоматизованих інструментів, які можна використовувати для виявлення, виправлення та запобігання цих недоліків. Проект спонсорується [en], ним керує [en], за підтримки [en] та Національного управління кібербезпеки Міністерства національної безпеки США.
Версія 4.5 стандарту CWE була випущена в липні 2021 року.
CWE має понад 600 категорій, включаючи класи для переповнення буфера, помилки обходу дерева шляхів/каталогів, стан гонки, міжсайтовий скриптинг, жорстко закодовані паролі та небезпечну генерацію випадкових чисел.
Приклади
- Категорія CWE 121 призначена для переповнення буфера у стеку.
Сумісність із CWE
Програма сумісності Common Weakness Enumeration (CWE) дозволяє перевіряти послугу або продукт і реєструвати їх як офіційні «CWE-сумісні» та «CWE-ефективні». Програма допомагає організаціям вибрати правильні програмні інструменти та дізнатися про можливі слабкі сторони та їх можливий вплив.
Щоб отримати статус сумісного з CWE, продукт або послуга повинні відповідати 4 з 6 вимог, наведених нижче:
Пошук по CWE | користувачі можуть здійснювати пошук елементів безпеки за допомогою ідентифікаторів CWE |
Вивід CWE | елементи безпеки, представлені користувачам, включають або дозволяють користувачам отримувати пов’язані ідентифікатори CWE |
Точність відображення | елементи безпеки точно посилаються на відповідні ідентифікатори CWE |
Документація CWE | документація щодо можливостей описує CWE, сумісність із CWE та як використовуються пов’язані з CWE функціональні можливості |
Покриття CWE | для CWE-сумісності та CWE-ефективності, документація можливості чітко перелічує CWE-ID, які підтверджують можливість покриття та ефективність щодо розташування в програмному забезпеченні |
Результати тестування CWE | для CWE-ефективності, доступні результати тестування, що показують результати оцінки програмного забезпечення для CWE, розміщені на вебсайті CWE |
Станом на вересень 2019 року існує 56 організацій, які розробляють та підтримують продукти та послуги, які отримали статус CWE Compatible.
Дослідження, критика та нові розробки
Деякі дослідники вважають, що двозначності в CWE можна уникнути або зменшити.
Див. також
Примітки
- . at mitre.org. Архів оригіналу за 15 серпня 2011. Процитовано 7 березня 2022.
- National Vulnerabilities Database CWE Slice [ 21 квітня 2021 у Wayback Machine.] at nist.gov
- . at mitre.org. Архів оригіналу за 20 березня 2021. Процитовано 7 березня 2022.
- . The MITRE Corporation. Архів оригіналу за 5 вересня 2021. Процитовано 3 жовтня 2021.
- The Bugs Framework (BF) / Common Weakness Enumeration (CWE) [ 14 квітня 2021 у Wayback Machine.] at nist.gov
- . Архів оригіналу за 14 квітня 2021. Процитовано 7 березня 2022.
- . at mitre.org. Архів оригіналу за 14 квітня 2021. Процитовано 7 березня 2022.
- Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. Towards a “Periodic Table” of Bugs [ 14 квітня 2021 у Wayback Machine.]
Джерела
- Certifying Applications for Known Security Weaknesses. The Common Weakness Enumeration (CWE) Effort [ 7 березня 2022 у Wayback Machine.] // 6 March 2007
- (PDF). Wiley Handbook of Science and Technology for Homeland Security. comparison of different vulnerability Classifications. Архів оригіналу (PDF) за 22 березня 2016.
{{}}
: Cite має пустий невідомий параметр:|df=
()
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Zagalnij perelik vrazlivostej angl Common Weakness Enumeration CWE sistema kategorij dlya slabkih misc i vrazlivostej programnogo zabezpechennya Vin pidtrimuyetsya proektom spilnoti metoyu yakogo ye rozuminnya nedolikiv programnogo zabezpechennya ta stvorennya avtomatizovanih instrumentiv yaki mozhna vikoristovuvati dlya viyavlennya vipravlennya ta zapobigannya cih nedolikiv Proekt sponsoruyetsya en nim keruye en za pidtrimki en ta Nacionalnogo upravlinnya kiberbezpeki Ministerstva nacionalnoyi bezpeki SShA Versiya 4 5 standartu CWE bula vipushena v lipni 2021 roku CWE maye ponad 600 kategorij vklyuchayuchi klasi dlya perepovnennya bufera pomilki obhodu dereva shlyahiv katalogiv stan gonki mizhsajtovij skripting zhorstko zakodovani paroli ta nebezpechnu generaciyu vipadkovih chisel PrikladiKategoriya CWE 121 priznachena dlya perepovnennya bufera u steku Sumisnist iz CWEPrograma sumisnosti Common Weakness Enumeration CWE dozvolyaye pereviryati poslugu abo produkt i reyestruvati yih yak oficijni CWE sumisni ta CWE efektivni Programa dopomagaye organizaciyam vibrati pravilni programni instrumenti ta diznatisya pro mozhlivi slabki storoni ta yih mozhlivij vpliv Shob otrimati status sumisnogo z CWE produkt abo posluga povinni vidpovidati 4 z 6 vimog navedenih nizhche Poshuk po CWE koristuvachi mozhut zdijsnyuvati poshuk elementiv bezpeki za dopomogoyu identifikatoriv CWE Vivid CWE elementi bezpeki predstavleni koristuvacham vklyuchayut abo dozvolyayut koristuvacham otrimuvati pov yazani identifikatori CWE Tochnist vidobrazhennya elementi bezpeki tochno posilayutsya na vidpovidni identifikatori CWE Dokumentaciya CWE dokumentaciya shodo mozhlivostej opisuye CWE sumisnist iz CWE ta yak vikoristovuyutsya pov yazani z CWE funkcionalni mozhlivosti Pokrittya CWE dlya CWE sumisnosti ta CWE efektivnosti dokumentaciya mozhlivosti chitko perelichuye CWE ID yaki pidtverdzhuyut mozhlivist pokrittya ta efektivnist shodo roztashuvannya v programnomu zabezpechenni Rezultati testuvannya CWE dlya CWE efektivnosti dostupni rezultati testuvannya sho pokazuyut rezultati ocinki programnogo zabezpechennya dlya CWE rozmisheni na vebsajti CWE Stanom na veresen 2019 roku isnuye 56 organizacij yaki rozroblyayut ta pidtrimuyut produkti ta poslugi yaki otrimali status CWE Compatible Doslidzhennya kritika ta novi rozrobkiDeyaki doslidniki vvazhayut sho dvoznachnosti v CWE mozhna uniknuti abo zmenshiti Div takozhCommon Vulnerabilities and Exposures CVE Zagalna sistema ocinki vrazlivostej Nacionalna baza danih vrazlivostejPrimitki at mitre org Arhiv originalu za 15 serpnya 2011 Procitovano 7 bereznya 2022 National Vulnerabilities Database CWE Slice 21 kvitnya 2021 u Wayback Machine at nist gov at mitre org Arhiv originalu za 20 bereznya 2021 Procitovano 7 bereznya 2022 The MITRE Corporation Arhiv originalu za 5 veresnya 2021 Procitovano 3 zhovtnya 2021 The Bugs Framework BF Common Weakness Enumeration CWE 14 kvitnya 2021 u Wayback Machine at nist gov Arhiv originalu za 14 kvitnya 2021 Procitovano 7 bereznya 2022 at mitre org Arhiv originalu za 14 kvitnya 2021 Procitovano 7 bereznya 2022 Paul E Black Irena V Bojanova Yaacov Yesha Yan Wu 2015 Towards a Periodic Table of Bugs 14 kvitnya 2021 u Wayback Machine DzherelaCertifying Applications for Known Security Weaknesses The Common Weakness Enumeration CWE Effort 7 bereznya 2022 u Wayback Machine 6 March 2007 PDF Wiley Handbook of Science and Technology for Homeland Security comparison of different vulnerability Classifications Arhiv originalu PDF za 22 bereznya 2016 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Cite maye pustij nevidomij parametr df dovidka