Common_Weakness_Enumeration
共通脆弱性列挙(CWE)は、ソフトウェアの弱点や脆弱性のカテゴリシステムです。これは、ソフトウェアの欠陥を理解し、それらの欠陥を特定、修正、および防止するために使用できる自動化ツールを作成することを目的としたコミュニティプロジェクトによって維持されています。プロジェクトは後援されナショナルサイバーセキュリティFFRDCによって運営され、MITRE社からの支援を受けて、米国-CERTや国家サイバーセキュリティ部門米国国土安全保障省の。
CWE標準のバージョン4.5は2021年7月にリリースされました。
CWEには、バッファオーバーフロー、パス/ディレクトリツリートラバーサルエラー、レース条件、クロスサイトスクリプティング、ハードコードされたパスワード、安全でない乱数のクラスなど、600を超えるカテゴリが
コンテンツ
1 例
2 CWEの互換性
3 研究、批評、および新しい開発
4 も参照してください
5 参考文献
6 外部リンク
例
CWEカテゴリ121は、スタックベースのバッファオーバーフロー用です。
CWEの互換性
Common Weakness Enumeration(CWE)互換性プログラムを使用すると、サービスまたは製品を正式に「CWE互換」および「CWE有効」としてレビューおよび登録できます。このプログラムは、組織が適切なソフトウェアツールを選択し、考えられる弱点とその考えられる影響について学習するのを支援します。
CWE互換ステータスを取得するには、製品またはサービスが以下に示す6つの要件のうち4つを満たす必要が
CWE検索可能 ユーザーはCWE識別子を使用してセキュリティ要素を検索できます
CWE出力 ユーザーに提示されるセキュリティ要素には、関連付けられたCWE識別子が含まれるか、ユーザーが取得できるようにします。
マッピングの精度 セキュリティ要素は、適切なCWE識別子に正確にリンクします
CWEドキュメント 機能のドキュメントには、CWE、CWEの互換性、および機能のCWE関連機能の使用方法が記載されています。
CWEカバレッジ CWE互換性とCWE有効性については、機能のドキュメントに、機能がソフトウェア内での検索に対するカバレッジと有効性を主張するCWE-IDが明示的にリストされています。
CWEテスト結果 CWEの有効性については、CWEのソフトウェア評価の結果を示す機能のテスト結果がCWEWebサイトに掲載されています。
2019年9月の時点で、CWE互換ステータスを達成した製品とサービスを開発および保守している56の組織が
研究、批評、および新しい開発
一部の研究者は、CWEのあいまいさを回避または削減できると考えています。
も参照してください
Common Vulnerabilities and Exposures(CVE)
Common Vulnerability Scoring System(CVSS)
全国脆弱性データベース
参考文献
^ 「CWE-CWEについて」。mitre.orgで。
^ nist.govのNationalVulnerabilities Database CWE Slice ^ 「CWEニュース」。mitre.orgで。
^ 「一般的な弱点列挙バージョン4.5」。MITRECorporation 。
^ nist.govのバグフレームワーク(BF)/ Common Weakness Enumeration(CWE) ^ CWE-121:スタックベースのバッファオーバーフロー ^ 「CWE-CWE-互換性のある製品とサービス」。mitre.orgで。
^ Paul E. Black、Irena V. Bojanova、Yaacov Yesha、Yan Wu 2015.バグの「周期表」に向けて
外部リンク
既知のセキュリティの弱点に対するアプリケーションの認証。Common Weakness Enumeration(CWE)の取り組み// 2007年3月6日
「脆弱性と攻撃のクラス」 (PDF)。国土安全保障のための科学技術のワイリーハンドブック。さまざまな脆弱性分類の比較。2016年3月22日にオリジナル (PDF)からアーカイブされました。CS1 maint:その他(リンク)
「https://en.wikipedia.org/w/index.php?title=Common_Weakness_Enumeration&oldid=1047877164」
から取得”