CNET新聞專區:Joris Evers 02/03/2007 |
|
| 美國國土安全部出手贊助一項旨在建立安全漏洞標準詞典的計畫。 名為Common Weakness Enumeration(CWE)的這一計畫旨在建立一個正式的軟體漏洞列表,例如緩衝區溢出漏洞和格式字串錯誤。該列表將作為描述軟體漏洞的通用語言,取代目前高科技公司和安全廠商使用的形形色色的不同術語。 在黑帽大會(Black Hat DC Briefings & Training)會議上發言時,Mitre首席資訊安全工程師Steve Christey表示,「少了對這些軟體漏洞的通用描述,修正這些漏洞的努力將付之流水,最多只能解決部分問題。」 透過這一詞典,Mitre希望提供識別、阻止軟體漏洞的共通標準。CWE也可以作為人們購買軟體的安全衡量標準,尤其是在購買安全工具時。 Christey 表示,這使買主多了一種與廠商溝通他們需求的工具。另外,CWE也有助於軟體廠商更好地理解在開發軟體時應當注意哪些方面。 為了強調CWE的必要性,Christey 說,早期原始碼檢查工具的漏洞定義數量非常小。他說,CWE中半數的漏洞定義是其他任何工具所不包括的,29%的漏洞定義只出現在其他一種工具中。 據Mitre稱,包括Cigital在內的原始碼安全公司已經表示將使用CWE。Christey 說,預計其他廠商也將採用CWE。 在過去的一年半中,Mitre一直在從事CWE專案。目前,CWE已經包含有300個漏洞類別。Christey 說,CWE將很快可以大規模推廣使用。正式版CWE將在未來數個月內發佈。 |
全站熱搜
留言列表
