MITRE представила новую версию перечня уязвимостей CWE

MITRE представила новую версию перечня уязвимостей CWE

27.02.2020
MITRE представила новую версию перечня уязвимостей CWE

24.02.2020 организация MITRE представила новую версию перечня уязвимостей и недостатков безопасности программного обеспечения (Common Weakness Enumeration) – CWE 4.0.

Для классификации уязвимостей и недостатков используется многоуровневая структура, которая описывает древовидное устройство CWE: конечные недостатки объединяются в типы, типы – в категории, категории – в представления. Каждое представление – особый способ классификации записей CWE, предназначенный для упрощения решения конкретной задачи.

В последней версии CWE добавлено два новых представления:

  • Проектирование аппаратного обеспечения – позволяет классифицировать уязвимости и недостатки в аппаратном части. Новое представление призвано помочь разработчикам оборудования узнать потенциальные ошибки, которые могут быть допущены при проектировании оборудования.
  • Разработка программного обеспечения – объединяет представления, которые были в предыдущей версии CWE: концепции архитектуры и концепции разработки. Представление «Разработка ПО» позволяет классифицировать уязвимости и недостатки, которые встречаются на всех этапах жизненного цикла создания ПО, включая как архитектуру, так и реализацию. Представление содержит множество категорий, предназначенных для упрощения навигации, просмотра и отображения записей CWE.

Также изменения затронули возможности фильтрации записей CWE. Теперь их можно фильтровать по трем представлениям: «Разработка программного обеспечения», «Проектирование аппаратного обеспечения» и «Концепции исследований» (представление, предназначенное для упрощения академических исследований, отличается от первых двух высоким уровнем абстракций).

Всего в перечне CWE содержится 1251 запись, больше двух третей из которых были изменены после введения новых представлений.