La Enumeración de Debilidades Comunes ( CWE ) es un sistema de categorías para las debilidades y vulnerabilidades de hardware y software. Es sustentado por un proyecto comunitario con el objetivo de comprender las fallas en el software y el hardware y crear herramientas automatizadas que se puedan usar para identificar, reparar y prevenir esas fallas. [1] El proyecto está patrocinado por la oficina de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de los EE. UU. (DHS), que es operada por The MITRE Corporation , [2] con el apoyo de US-CERT y la División Nacional de Seguridad Cibernética del Departamento de Seguridad Nacional de los EE. UU. [3] [4]
La versión 4.15 del estándar CWE se publicó en julio de 2024. [5]
CWE tiene más de 600 categorías, incluidas clases para desbordamientos de búfer, errores de recorrido de árboles de directorios/rutas, condiciones de carrera, secuencias de comandos entre sitios , contraseñas codificadas y números aleatorios inseguros. [6]
El programa de compatibilidad de enumeración de debilidades comunes (CWE) permite que un servicio o producto se revise y registre como oficialmente "compatible con CWE" y "efectivo para CWE". El programa ayuda a las organizaciones a seleccionar las herramientas de software adecuadas y a conocer las posibles debilidades y su posible impacto.
Para obtener el estado de compatibilidad con CWE, un producto o servicio debe cumplir 4 de los 6 requisitos que se muestran a continuación:
A septiembre de 2019, había 56 organizaciones que desarrollaban y mantenían productos y servicios que habían alcanzado el estatus de compatibilidad con CWE. [8]
Algunos investigadores creen que las ambigüedades en CWE se pueden evitar o reducir. [9]
{{cite web}}
: Mantenimiento de CS1: otros ( enlace )