本文介绍了CVE(通用漏洞和风险)和CWE(通用缺陷枚举)的概念,CVE是国际著名的安全漏洞库,而CWE是软件安全战略性项目,用于枚举和分类软件源代码缺陷。二者均由美国国土安全部赞助,MITRE公司负责维护。CWE的CWSS和CWRAF研究关注缺陷的危害等级和风险评估。两者间的关系是,CWE是对CVE中缺陷分类的细化和深入研究。
1. 概念
CVE (Common Vulnerabilities & Exposures,通用漏洞和风险)是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。
CWE(Common Weakness Enumeration,通用缺陷枚举)是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。CWE成立于2006年,建立之初分别借鉴了来自CVE(“Common Vulnerabilities & Exposures”公共漏洞和暴露),CLASP(Comprehensive Lightweight Application Security Process,全面轻量级应用安全过程)等组织对缺陷概念描述和缺陷分类。
CWE,先后推出了CWSS(Common Weakness Scoring System)和CWRAF(Common Weakness Risk Analysis Framework)工程研究。CWSS主要研究的是对源代码缺陷产生危害的不同等级划分,目前属于研究初期,研究报告发布于2011年。报告中称:跨站脚本攻击、SQL注入、缓冲区溢出、跨站伪造请求和信息泄漏等是危害级别最高的缺陷。CWRAF是组织综合源代码缺陷描述、CWSS评分研究结合行业业务实际推出的源代码缺陷风险评估工程。
随着CWE组织的发展,更多的研究机构、企业和个人将自身对软件源代码缺陷研究的成果与CWE分享。鉴于CWE对源代码缺陷描述的准确性和权威性,越来越多的源代码缺陷检测厂家,在产品和服务中引用CWE中的相关信息。CWE组织推出的“CWE兼容性计划”分别在产品的输出、对已知缺陷检测能力、检测结果输出、CWE信息是否可查等几方面,衡量产品或服务对CWE缺陷研究的支持情况。
最低0.47元/天 解锁文章
扫一扫
4667
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
