stringtranslate.com

Enumeración de debilidades comunes

La Enumeración de Debilidades Comunes ( CWE ) es un sistema de categorías para las debilidades y vulnerabilidades de hardware y software. Es sustentado por un proyecto comunitario con el objetivo de comprender las fallas en el software y el hardware y crear herramientas automatizadas que se puedan usar para identificar, reparar y prevenir esas fallas. [1] El proyecto está patrocinado por la oficina de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de los EE. UU. (DHS), que es operada por The MITRE Corporation , [2] con el apoyo de US-CERT y la División Nacional de Seguridad Cibernética del Departamento de Seguridad Nacional de los EE. UU. [3] [4]

La versión 4.15 del estándar CWE se publicó en julio de 2024. [5]

CWE tiene más de 600 categorías, incluidas clases para desbordamientos de búfer, errores de recorrido de árboles de directorios/rutas, condiciones de carrera, secuencias de comandos entre sitios , contraseñas codificadas y números aleatorios inseguros. [6]

Ejemplos

Compatibilidad con CWE

El programa de compatibilidad de enumeración de debilidades comunes (CWE) permite que un servicio o producto se revise y registre como oficialmente "compatible con CWE" y "efectivo para CWE". El programa ayuda a las organizaciones a seleccionar las herramientas de software adecuadas y a conocer las posibles debilidades y su posible impacto.

Para obtener el estado de compatibilidad con CWE, un producto o servicio debe cumplir 4 de los 6 requisitos que se muestran a continuación:

A septiembre de 2019, había 56 organizaciones que desarrollaban y mantenían productos y servicios que habían alcanzado el estatus de compatibilidad con CWE. [8]

Investigaciones, críticas y nuevos desarrollos

Algunos investigadores creen que las ambigüedades en CWE se pueden evitar o reducir. [9]

Véase también

Referencias

  1. ^ "CWE - Acerca de CWE". en mitre.org.
  2. ^ "CWE - Preguntas frecuentes (FAQ)". cwe.mitre.org . Consultado el 21 de septiembre de 2023 .
  3. ^ "Vulnerabilidades | Segmento NVD CWE". Base de datos nacional de vulnerabilidades .
  4. ^ Goseva-Popstojanova, Katerina; Perhinschi, Andrei (2015). "Sobre la capacidad del análisis de código estático para detectar vulnerabilidades de seguridad". Tecnología de la información y el software . 68 : 18–33. doi :10.1016/j.infsof.2015.08.002.
  5. ^ "La versión 4.15 de CWE ya está disponible". Mitre Corporation . Consultado el 17 de octubre de 2024 .
  6. ^ Bojanova, Irena (2014). "Bugs Framework (BF): Formalización de debilidades y vulnerabilidades de seguridad del software". samate.nist.gov .
  7. ^ "CWE - CWE-121: Desbordamiento de búfer basado en pila (4.15)". cwe.mitre.org . Consultado el 5 de agosto de 2024 .
  8. ^ "CWE - Productos y servicios compatibles con CWE". en mitre.org.
  9. ^ Paul E. Black; Irena V. Bojanova; Yaacov Yesha; Yan Wu (2015). "Hacia una "tabla periódica" de errores". Instituto Nacional de Estándares y Tecnología .

Enlaces externos