La enumeración de debilidades comunes (CWE) es un sistema de categorías para las debilidades y vulnerabilidades del software. Se sustenta en un proyecto comunitario con el objetivo de comprender las fallas en el software y crear herramientas automatizadas que puedan usarse para identificar, corregir y prevenir esas fallas. [1] El proyecto está patrocinado por National Cybersecurity FFRDC , que es operado por The MITRE Corporation , con el apoyo de US-CERT y la División Nacional de Seguridad Cibernética del Departamento de Seguridad Nacional de EE. UU. [2]
La versión 3.2 del estándar CWE se lanzó en enero de 2019. [3]
CWE tiene más de 600 categorías, incluidas clases para desbordamientos de búfer, errores de recorrido de árbol de ruta / directorio, condiciones de carrera, secuencias de comandos entre sitios , contraseñas codificadas de forma rígida y números aleatorios inseguros. [4]
Ejemplos de
- La categoría 121 de CWE es para desbordamientos de búfer basados en pilas. [5]
Compatibilidad con CWE
El programa de compatibilidad Common Weakness Enumeration (CWE) permite que un servicio o producto sea revisado y registrado oficialmente como "CWE-compatible" y "CWE-Effective". El programa ayuda a las organizaciones a seleccionar las herramientas de software adecuadas y a conocer las posibles debilidades y su posible impacto.
Para obtener el estado Compatible con CWE, un producto o servicio debe cumplir con 4 de los 6 requisitos, que se muestran a continuación:
CWE con capacidad de búsqueda | los usuarios pueden buscar elementos de seguridad utilizando identificadores CWE |
Salida CWE | Los elementos de seguridad presentados a los usuarios incluyen, o permiten a los usuarios obtener, identificadores CWE asociados. |
Precisión de mapeo | Los elementos de seguridad se vinculan con precisión a los identificadores CWE apropiados. |
Documentación de CWE | La documentación de la capacidad describe CWE, la compatibilidad de CWE y cómo se utiliza la funcionalidad relacionada con CWE en la capacidad. |
Cobertura CWE | para la compatibilidad con CWE y la eficacia de CWE, la documentación de la capacidad enumera explícitamente los CWE-ID que la capacidad reclama cobertura y eficacia frente a la localización en el software. |
Resultados de la prueba CWE | para la eficacia de CWE, los resultados de las pruebas de la capacidad que muestran los resultados de la evaluación del software para los CWE se publican en el sitio web de CWE |
Hay 56 organizaciones a septiembre de 2019 que desarrollan y mantienen productos y servicios que alcanzaron el estado Compatible con CWE. [6]
Investigación, críticas y nuevos desarrollos
Algunos investigadores piensan que las ambigüedades en CWE se pueden evitar o reducir. [7]
Ver también
Referencias
- ^ "CWE - Acerca de CWE" . en mitre.org.
- ^ Rebanada de CWE de la base de datos nacional de vulnerabilidades en nist.gov
- ^ "Noticias de CWE" . en mitre.org.
- ^ El marco de errores (BF) / Enumeración de debilidades comunes (CWE) en nist.gov
- ^ CWE-121: Desbordamientos de búfer basados en pilas
- ^ "CWE - Productos y servicios compatibles con CWE" . en mitre.org.
- ^ Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. Hacia una "tabla periódica" de errores
enlaces externos
- Certificación de aplicaciones para debilidades de seguridad conocidas. El esfuerzo de enumeración de debilidades comunes (CWE) // 6 de marzo de 2007
- "Clases de vulnerabilidades y ataques" (PDF) . Wiley Handbook of Science and Technology for Homeland Security . comparación de diferentes clasificaciones de vulnerabilidad. Archivado desde el original (PDF) el 22 de marzo de 2016.CS1 maint: otros ( enlace )