CWE(Common Weakness Enumeration,通用缺陷枚举),由美国国土安全部下的US-CERT(美国计算机安全应急响应组)资助,是全世界最早和相对权威的软件安全漏洞模式库。通过CWE国际兼容性的认证,表明该项技术和产品能够比较友好地支持国际上主要漏洞(缺陷)模式的检测和分析。“CWE兼容”已作为攻击面管理产品的重要等级标志被国际用户和安全管理人员所认可。
截至目前,全世界仅有73家企业组织包含Apple、IBM、Symantec、Checkmarx等国际一线机构及厂商,共计121个产品和服务通过了该项认证。
图1:CWE官网数据截图
悬镜安全是业界最早研究实践CWE认证,并将其从中国学术圈引进至产业界的创新安全厂商。早在2016年,悬镜智能开源治理技术就已在业内推广实践CWE标准,并于2020年,旗下商业化产品源鉴OSS开源威胁管控平台顺利通过CWE全方位兼容测评,是国内DevSecOps领域首款通过该项认证的SCA产品,加上今年一次性通过认证的灵脉IAST灰盒安全测试平台、云鲨RASP自适应威