Загальний перелік вразливостей

Загальний перелік вразливостей (англ. Common Weakness Enumeration, CWE) — система категорій для слабких місць і вразливостей програмного забезпечення. Він підтримується проектом спільноти, метою якого є розуміння недоліків програмного забезпечення та створення автоматизованих інструментів, які можна використовувати для виявлення, виправлення та запобігання цих недоліків.[1] Проект спонсорується Національним федеральним науково-дослідним центром кібербезпеки США[en], ним керує MITRE Corporation[en], за підтримки US-CERT[en] та Національного управління кібербезпеки Міністерства національної безпеки США.[2]

Версія 4.5 стандарту CWE була випущена в липні 2021 року.[3][4]

Станом на 2025 рік актуальною є версия стандарту CWE 4.17, яка стала доступною 3 квітня 2025 року.[5]

CWE має понад 600 категорій, включаючи класи для переповнення буфера, помилки обходу дерева шляхів/каталогів, стан гонки, міжсайтовий скриптинг, жорстко закодовані паролі та небезпечну генерацію випадкових чисел.[6]

Приклади

  • Категорія CWE 121 призначена для переповнення буфера у стеку.[7]

Сумісність із CWE

Програма сумісності Common Weakness Enumeration (CWE) дозволяє перевіряти послугу або продукт і реєструвати їх як офіційні «CWE-сумісні» та «CWE-ефективні». Програма допомагає організаціям вибрати правильні програмні інструменти та дізнатися про можливі слабкі сторони та їх можливий вплив.

Щоб отримати статус сумісного з CWE, продукт або послуга повинні відповідати 4 з 6 вимог, наведених нижче:

Пошук по CWE користувачі можуть здійснювати пошук елементів безпеки за допомогою ідентифікаторів CWE
Вивід CWE елементи безпеки, представлені користувачам, включають або дозволяють користувачам отримувати пов’язані ідентифікатори CWE
Точність відображення елементи безпеки точно посилаються на відповідні ідентифікатори CWE
Документація CWE документація щодо можливостей описує CWE, сумісність із CWE та як використовуються пов’язані з CWE функціональні можливості
Покриття CWE для CWE-сумісності та CWE-ефективності, документація можливості чітко перелічує CWE-ID, які підтверджують можливість покриття та ефективність щодо розташування в програмному забезпеченні
Результати тестування CWE для CWE-ефективності, доступні результати тестування, що показують результати оцінки програмного забезпечення для CWE, розміщені на вебсайті CWE

Станом на вересень 2019 року існує 56 організацій, які розробляють та підтримують продукти та послуги, які отримали статус CWE Compatible.[8]

Дослідження, критика та нові розробки

Деякі дослідники вважають, що двозначності в CWE можна уникнути або зменшити.[9]

Див. також

Примітки

  1. CWE - About CWE. at mitre.org. Архів оригіналу за 15 серпня 2011. Процитовано 7 березня 2022.
  2. National Vulnerabilities Database CWE Slice [Архівовано 21 квітня 2021 у Wayback Machine.] at nist.gov
  3. CWE News. at mitre.org. Архів оригіналу за 20 березня 2021. Процитовано 7 березня 2022.
  4. Common Weakness Enumeration Version 4.5. The MITRE Corporation. Архів оригіналу за 5 вересня 2021. Процитовано 3 жовтня 2021.
  5. CWE Version 4.17 Now Available. https://cwe.mitre.org/ (англ.). 3 квітня 2025. {{cite web}}: Зовнішнє посилання в |website= (довідка)
  6. The Bugs Framework (BF) / Common Weakness Enumeration (CWE) [Архівовано 14 квітня 2021 у Wayback Machine.] at nist.gov
  7. CWE-121: Stack-based Buffer Overflows. Архів оригіналу за 14 квітня 2021. Процитовано 7 березня 2022.
  8. CWE - CWE-Compatible Products and Services. at mitre.org. Архів оригіналу за 14 квітня 2021. Процитовано 7 березня 2022.
  9. Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. Towards a “Periodic Table” of Bugs [Архівовано 14 квітня 2021 у Wayback Machine.]

Джерела
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi

Kembali kehalaman sebelumnya