Common Weakness Enumeration (CWE, «Enumeración de Debilidades Comunes») es un sistema de categorías para las debilidades y vulnerabilidades del software. Se sustenta en un proyecto comunitario con el objetivo de comprender las fallas en el software y crear herramientas automatizadas que se puedan utilizar para identificar, corregir y prevenir esas fallas.[1] El proyecto está patrocinado por National Cybersecurity FFRDC, que es operado por The MITRE Corporation, con el apoyo de US-CERT y la División Nacional de Seguridad Cibernética del Departamento de Seguridad Nacional de Estados Unidos.[2]
La versión 3.2 del estándar CWE se lanzó en enero de 2019.[3]
CWE tiene más de 600 categorías, incluidas clases para buffer overflows, path/directory tree traversal errors, condiciones de carrera, cross-site scripting, hard-coded passwords y generación insegura de números aleatorios.[4]
Ejemplos
- La categoría 121 de CWE es para stack-based buffer overflows.[5]
Compatibilidad con CWE
El programa de compatibilidad Common Weakness Enumeration (CWE) permite que un servicio o un producto sea revisado y registrado oficialmente como "CWE-compatible" y "CWE-Effective". El programa ayuda a las organizaciones a seleccionar las herramientas de software adecuadas y a conocer las posibles debilidades y su posible impacto.
Para obtener el estado Compatible con CWE, un producto o servicio debe cumplir con 4 de los 6 requisitos, que se muestran a continuación:
CWE Searchable
|
Los usuarios pueden buscar elementos de seguridad utilizando identificadores CWE
|
CWE Output
|
Los elementos de seguridad presentados a los usuarios incluyen, o permiten a los usuarios obtener, identificadores CWE asociados.
|
Mapping Accuracy
|
Los elementos de seguridad se vinculan con precisión a los identificadores CWE apropiados
|
CWE Documentation
|
La documentación de la capacidad describe CWE, la compatibilidad de CWE y cómo se utiliza la funcionalidad relacionada con CWE en la capacidad.
|
CWE Coverage
|
Para CWE-Compatibility y CWE-Effectiveness, la documentación de la capacidad enumera explícitamente los CWE-ID sobre los que la capacidad tiene cobertura y efectividad.
|
CWE Test Results
|
Para CWE-Effectiveness, los resultados de las pruebas de la capacidad muestran los resultados de la evaluación del software para los CWE publicados el sitio web de CWE
|
Hay 56 organizaciones a septiembre de 2019 que desarrollan y mantienen productos y servicios que alcanzaron el estado CWE-Compatible.[6]
Investigación, críticas y nuevos desarrollos
Algunos investigadores piensan que las ambigüedades en CWE se pueden evitar o reducir.[7]
Véase también
Referencias
Enlaces externos