Common Weakness Enumeration (CWE)
Common Weakness Enumeration (CWE) — поддерживаемая и развиваемая сообществом система классификации недостатков безопасности. CWE выступает в качестве общего языка, позволяющего описывать (а как следствие — предотвращать) недостатки безопасности в программном и аппаратном обеспечении. Под недостатками безопасности понимаются сбои и ошибки при реализации программного или аппаратного обеспечения, в проектировании, архитектуре и т.д., которые могут сделать конечный продукт уязвимым к различного рода атакам.
Основная цель CWE — предотвращать возникновение уязвимостей за счёт обучения специалистов способам избегания наиболее распространённых ошибок. То есть в конечном итоге CWE позволяет избегать уязвимости, которым подвержено программное и аппаратное обеспечение.
CWE может помочь:
- описывать и обсуждать программные и аппаратные недостатки безопасности на общем языке;
- проверять на недостатки безопасности существующие программные и аппаратные решения;
- оценивать возможности специализированных инструментов по поиску недостатков безопасности;
- предотвращать потенциальные уязвимости в программном и аппаратом обеспечении до его доставки пользователям.
Для выявления ошибок, перечисленных в CWE, могут использоваться различные статические анализаторы кода. Одним из таких инструментов является PVS-Studio. См. также классификацию предупреждений PVS-Studio согласно Common Weakness Enumeration.
Некорректно говорить, что анализаторы выдают предупреждения на фрагменты кода, содержащие уязвимости. Не каждая ошибка, которая классифицируется согласно CWE, является уязвимостью. Большинство программных ошибок на самом деле нельзя никак использовать в злонамеренных целях. Поэтому правильно будет называть то, что обнаруживают статические анализаторы, потенциальными уязвимостями.
0