美國國土安全部出手贊助一項旨在建立安全漏洞標準詞典的計畫。這個被命名為Common Weakness Enumeration(CWE)的計畫旨在建立一個正式的軟體漏洞列表,例如緩衝區溢出漏洞和格式字串錯誤。該列表將作為描述軟體漏洞的通用語言,取代 目前高科技公司和安全廠商使用的形形色色的不同術語。
Mitre 首席資訊安全工程師Steve Christey在黑帽大會(Black Hat DC Briefings & Training)會議上發言時表示,「少了對這些軟體漏洞的通用描述,修正這些漏洞的努力將付之流水,最多只能解決部分問題。」透過這一詞典, Mitre希望提供識別、阻止軟體漏洞的共通標準。CWE也可以作為人們購買軟體的安全衡量標準,尤其是在購買安全工具時。在過去的一年半中,Mitre 一直在從事CWE專案。目前,CWE已經包含有300個漏洞類別。Christey 說,CWE將很快可以大規模推廣使用。正式版CWE將在未來數個月內發佈。
Christey 表示,CWE使買主多了一種與廠商溝通他們需求的工具。另外也有助於軟體廠商更好地理解在開發軟體時應當注意哪些方面。Christey認為,早期原始碼 檢查工具的漏洞定義數量非常小。他說,CWE中半數的漏洞定義是其他任何工具所不包括的,29%的漏洞定義只出現在其他一種工具中。
據Mitre稱,包括Cigital在內的原始碼安全公司已經表示將使用CWE。Christey 說,預計其他廠商也將採用CWE。
International in scope and free for public use, CWE™ provides a unified, measurable set of software weaknesses that will enable more effective discussion, description, selection, and use of software security tools and services that can find these weaknesses in source code.
留言列表
