CWE(Common Weakness Enumeration),通用缺陷枚举,是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。CWE成立于2006年,建立之初分别借鉴了来自CVE(公共漏洞和暴露),CLASP(Comprehensive Lightweight Application Security Process,全面轻量级应用安全过程)等组织对缺陷概念描述和缺陷分类。
更多的研究机构、企业和个人将自身对软件源代码缺陷研究的成果与CWE分享,鉴于CWE对源代码缺陷描述的准确性和权威性,越来越多的源代码缺陷检测厂家,在产品和服务中引用CWE中的相关信息。
CWE,先后推出了CWSS(Common Weakness Scoring System)和CWRAF(Common Weakness Risk Analysis Framework)工程研究。CWSS主要研究的是对源代码缺陷产生危害的不同等级划分,CWRAF是组织综合源代码缺陷描述、CWSS评分研究结合行业业务实际推出的源代码缺陷风险评估工程。
CWE Top 25由MITRE发布,是对可能导致严重软件漏洞的最广泛,最严重的漏洞的汇总。
如下图是对CWE漏洞分类库的构建,包含3张分类表和1张引用表,分类表是根据不同的维度对信息的解析,包含威胁名称、相关弱点、常见后果、检测方法、缓解措施、例子和 条目更改的信息等。
CWE文件下载地址
网页地址
文件地址https://cwe.mitre.org/data/xml/cwec_latest.xml.zip
本文暂时没有评论,来添加一个吧(●'◡'●)