Топ питань
Часова шкала
Чат
Перспективи
Загальний перелік вразливостей
З Вікіпедії, вільної енциклопедії
Remove ads
Загальний перелік вразливостей (англ. Common Weakness Enumeration, CWE) — система категорій для слабких місць і вразливостей програмного забезпечення. Він підтримується проектом спільноти, метою якого є розуміння недоліків програмного забезпечення та створення автоматизованих інструментів, які можна використовувати для виявлення, виправлення та запобігання цих недоліків.[1] Проект спонсорується Національним федеральним науково-дослідним центром кібербезпеки США[en], ним керує MITRE Corporation[en], за підтримки US-CERT[en] та Національного управління кібербезпеки Міністерства національної безпеки США.[2]
Версія 4.5 стандарту CWE була випущена в липні 2021 року.[3][4]
Станом на 2025 рік актуальною є версия стандарту CWE 4.17, яка стала доступною 3 квітня 2025 року.[5]
CWE має понад 600 категорій, включаючи класи для переповнення буфера, помилки обходу дерева шляхів/каталогів, стан гонки, міжсайтовий скриптинг, жорстко закодовані паролі та небезпечну генерацію випадкових чисел.[6]
Remove ads
Приклади
- Категорія CWE 121 призначена для переповнення буфера у стеку.[7]
Сумісність із CWE
Узагальнити
Перспектива
Програма сумісності Common Weakness Enumeration (CWE) дозволяє перевіряти послугу або продукт і реєструвати їх як офіційні «CWE-сумісні» та «CWE-ефективні». Програма допомагає організаціям вибрати правильні програмні інструменти та дізнатися про можливі слабкі сторони та їх можливий вплив.
Щоб отримати статус сумісного з CWE, продукт або послуга повинні відповідати 4 з 6 вимог, наведених нижче:
| Пошук по CWE | користувачі можуть здійснювати пошук елементів безпеки за допомогою ідентифікаторів CWE |
| Вивід CWE | елементи безпеки, представлені користувачам, включають або дозволяють користувачам отримувати пов’язані ідентифікатори CWE |
| Точність відображення | елементи безпеки точно посилаються на відповідні ідентифікатори CWE |
| Документація CWE | документація щодо можливостей описує CWE, сумісність із CWE та як використовуються пов’язані з CWE функціональні можливості |
| Покриття CWE | для CWE-сумісності та CWE-ефективності, документація можливості чітко перелічує CWE-ID, які підтверджують можливість покриття та ефективність щодо розташування в програмному забезпеченні |
| Результати тестування CWE | для CWE-ефективності, доступні результати тестування, що показують результати оцінки програмного забезпечення для CWE, розміщені на вебсайті CWE |
Станом на вересень 2019 року існує 56 організацій, які розробляють та підтримують продукти та послуги, які отримали статус CWE Compatible.[8]
Remove ads
Дослідження, критика та нові розробки
Деякі дослідники вважають, що двозначності в CWE можна уникнути або зменшити.[9]
Див. також
Примітки
Джерела
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads