名为Common Weakness Enumeration(CWE)的这一计划旨在创建一个正式的软件缺陷列表,例如缓冲区溢出缺陷和格式字符串错误。该列表将作为描述软件缺陷的通用语言,取代目前高科技公司和安全厂商使用的形形色色的不同术语。
在Black Hat DC Briefings & Training会议上发言时,Mitre首席信息安全工程师史蒂夫说,没有对这些软件缺陷的通用描述,修正这些缺陷的努力将付之东流,最多只能解决部分问题。
通过这一词典,Mitre希望提供识别、减轻、阻止软件缺陷的通用标准。CWE也可以作为人们购买软件的安全衡量标准,尤其是在购买旨在阻止或发现具体安全问题的安全工具时。
史蒂夫表示,这使买主多了一种与厂商沟通他们需求的工具。另外,CWE也有助于软件厂商更好地理解在开发软件时应当注意哪些方面。
为了强调CWE的必要性,史蒂夫说,早期源代码检查工具的缺陷定义数量非常小。他说,CWE中半数的缺陷定义是其它任何工具所不包括的,29%的缺陷定义只出现在其它一种工具中。
据Mitre称,包括Cigital在内的源代码安全公司已经表示将使用CWE。史蒂夫说,预计其它厂商也将采用CWE。
在过去的一年半中,Mitre一直在从事CWE项目。目前,CWE已经包含有300个缺陷类别。史蒂夫说,CWE将很快可以大规模推广使用。正式版CWE将在未来数个月内发布。
(| 0 |
 |
