认识CWE和CVE

在源代码安全领域工作的朋友都知道CWE和CVE，但是还是有一些朋友不太了解这两个词语。这里我根据网络资料和经验整理一下，供刚进入该领域人员的参考。

CWE（Common Weakness Enumeration，通用缺陷枚举）。是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。

CVE （Common Vulnerabilities & Exposures，常用漏洞和风险）。 CVE 是国际著名的安全漏洞库，也是对已知漏洞和安全缺陷的标准化名称的列表，它是一个由企业界、政府界和学术界综合参与的国际性组织，采取一种非盈利的组织形式，其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。

上述两个都是由美国国土安全部（DHS）网络安全和基础设施安全局（CISA）赞助。MITRE公司是主要面向美国政府提供系统工程、研究开发和信息技术支持的非盈利性组织。MITRE公司既定期发布业界广泛引用的软件产品漏洞库CVE，也公布并实时更新包括识别、减轻和阻止软件漏洞的源代码漏洞词典库CWE及相关通用标准。

 

CWE成立于2006年，建立之初分别借鉴了来自CVE（“Common Vulnerabilities & Exposures”公共漏洞和暴露），CLASP（Comprehensive Lightweight Application Security Process，全面轻量级应用安全过程)等组织对缺陷概念描述和缺陷分类。

随着CWE组织的发展,更多的研究机构、企业和个人将自身对软件源代码缺陷研究的成果与CWE分享。鉴于CWE对源代码缺陷描述的准确性和权威性，越来越多的源代码缺陷检测厂家，在产品和服务中引用CWE中的相关信息。CWE组织推出的“CWE兼容性计划”分别在产品的输出、对已知缺陷检测能力、检测结果输出、CWE信息是否可查等几方面，衡量产品或服务对CWE缺陷研究的支持情况。
 

“CWE兼容”是软件安全类产品重要的标志之一，产品或服务与“CWE”兼容，意味着工具、网站、数据库或者服务使用CWE名称，用户可通过产品搜索到相关的CWE信息，同时厂商和相关的安全机构也会向CVE提供关于漏洞研究方面的相关资料。“CWE兼容”以作为产品的重要等级标志被用户和管理人员所认可。截止到目前，已有36家公司、机构，60多项产品或服务加入了CWE组织。该组织现在还提供对产品或服务的认证，目前通过CWE认证的产品或服务有16款。国内只有北大软件的CoBOT静态代码检测工具在2015年通过该认证。
 

CWE，先后推出了CWSS（Common Weakness Scoring System）和CWRAF（Common Weakness Risk Analysis Framework）工程研究。CWSS主要研究的是对源代码缺陷产生危害的不同等级划分，目前属于研究初期，研究报告发布于2011年。报告中称：跨站脚本攻击、SQL注入、缓冲区溢出、跨站伪造请求和信息泄漏等是危害级别最高的缺陷。CWRAF是组织综合源代码缺陷描述、CWSS评分研究结合行业业务实际推出的源代码缺陷风险评估工程。
    CWE与SANS组织每年会推出最危险的软件错误前25条的报告。提示并帮助开发人员降低源代码缺陷带来的开发风险。MITRE公司同时维护的项目还有Common Attack Pattern Enumeration and Classification (CAPEC™)（常见的攻击模式列表和分类）、CVE （Common Vulnerabilities and Exposure）（信息安全漏洞词典）、CCE（Common Configuration Enumeration (CCE™)）（常见的配置列表）等其他项目，共同组成了Making Security Measurable工程。CWE作为目前最权威的源代码缺陷研究项目，其成果已被越来越多的专业人员所认可，逐渐成为衡量源代码缺陷检测产品检测能力的重要衡量标准。

（完）