Common Weakness Enumeration
Common Weakness Enumeration (CWE, «Enumeración de Debilidades Comunes») es un sistema de categorías para las debilidades y vulnerabilidades del software. Se sustenta en un proyecto comunitario con el objetivo de comprender las fallas en el software y crear herramientas automatizadas que se puedan utilizar para identificar, corregir y prevenir esas fallas.[1] El proyecto está patrocinado por National Cybersecurity FFRDC, que es operado por The MITRE Corporation, con el apoyo de US-CERT y la División Nacional de Seguridad Cibernética del Departamento de Seguridad Nacional de Estados Unidos.[2]
La versión 3.2 del estándar CWE se lanzó en enero de 2019.[3]
CWE tiene más de 600 categorías, incluidas clases para buffer overflows, path/directory tree traversal errors, condiciones de carrera, cross-site scripting, hard-coded passwords y generación insegura de números aleatorios.[4]
Ejemplos
editar- La categoría 121 de CWE es para stack-based buffer overflows.[5]
Compatibilidad con CWE
editarEl programa de compatibilidad Common Weakness Enumeration (CWE) permite que un servicio o un producto sea revisado y registrado oficialmente como "CWE-compatible" y "CWE-Effective". El programa ayuda a las organizaciones a seleccionar las herramientas de software adecuadas y a conocer las posibles debilidades y su posible impacto.
Para obtener el estado Compatible con CWE, un producto o servicio debe cumplir con 4 de los 6 requisitos, que se muestran a continuación:
CWE Searchable | Los usuarios pueden buscar elementos de seguridad utilizando identificadores CWE |
CWE Output | Los elementos de seguridad presentados a los usuarios incluyen, o permiten a los usuarios obtener, identificadores CWE asociados. |
Mapping Accuracy | Los elementos de seguridad se vinculan con precisión a los identificadores CWE apropiados |
CWE Documentation | La documentación de la capacidad describe CWE, la compatibilidad de CWE y cómo se utiliza la funcionalidad relacionada con CWE en la capacidad. |
CWE Coverage | Para CWE-Compatibility y CWE-Effectiveness, la documentación de la capacidad enumera explícitamente los CWE-ID sobre los que la capacidad tiene cobertura y efectividad. |
CWE Test Results | Para CWE-Effectiveness, los resultados de las pruebas de la capacidad muestran los resultados de la evaluación del software para los CWE publicados el sitio web de CWE |
Hay 56 organizaciones a septiembre de 2019 que desarrollan y mantienen productos y servicios que alcanzaron el estado CWE-Compatible.[6]
Investigación, críticas y nuevos desarrollos
editarAlgunos investigadores piensan que las ambigüedades en CWE se pueden evitar o reducir.[7]
Véase también
editarReferencias
editar- ↑ «CWE - About CWE». at mitre.org.
- ↑ National Vulnerabilities Database CWE Slice at nist.gov
- ↑ «CWE News». at mitre.org.
- ↑ The Bugs Framework (BF) / Common Weakness Enumeration (CWE) at nist.gov
- ↑ CWE-121: Stack-based Buffer Overflows
- ↑ «CWE - CWE-Compatible Products and Services». at mitre.org.
- ↑ Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. Towards a “Periodic Table” of Bugs
Enlaces externos
editar- Certificación de aplicaciones para debilidades de seguridad conocidas. El esfuerzo de la enumeración de debilidades comunes (CWE) // 6 de marzo de 2007
- «Classes of Vulnerabilities and Attacks». Wiley Handbook of Science and Technology for Homeland Security. Archivado desde el original el 22 de marzo de 2016.