일반적인 약점 목록

공통 약점 열거(CWE)는 하드웨어 및 소프트웨어의 약점 및 취약성에 대한 범주 시스템입니다.소프트웨어 및 하드웨어의 결함을 이해하고 이러한 ^[1]결함을 식별, 수정 및 방지하는 데 사용할 수 있는 자동화된 도구를 만드는 것을 목표로 하는 커뮤니티 프로젝트에 의해 지원됩니다.이 프로젝트는 MITRE Corporation이 운영하는 National Cybersecurity FFRDC가 US-CERT와 미국 국토안보부 ^[2]National Cyber Security Division의 지원을 받아 후원하고 있습니다.

CWE 표준의 버전 4.5는 2021년 ^[3][4]7월에 공개되었습니다.

CWE에는 버퍼 오버플로우 클래스, 패스/디렉토리 트리 트래버설오류, 레이스 조건, 크로스 사이트 스크립팅, 하드 코드 패스워드, 안전하지 않은 랜덤 번호 ^[5]등 600개가 넘는 카테고리가 있습니다.

예

• CWE 카테고리 121은 스택베이스 버퍼 ^[6]오버플로우용입니다.

CWE 호환성

공통 약점 열거(CWE) 호환성 프로그램을 통해 서비스 또는 제품을 검토하여 공식적으로 "CWE-Compatible" 및 "CWE-Effective"로 등록할 수 있습니다.이 프로그램은 조직이 적절한 소프트웨어 도구를 선택하고 잠재적인 약점과 그 영향에 대해 학습하는 데 도움이 됩니다.

CWE Compatible 상태를 취득하려면 제품 또는 서비스가 다음과 같은 6가지 요건 중 4가지를 충족해야 합니다.

CWE 검색 가능	사용자는 CWE 식별자를 사용하여 보안 요소를 검색할 수 있습니다.
CWE 출력	사용자에게 제시되는 보안 요소에는 관련된 CWE 식별자가 포함되거나 사용자가 취득할 수 있는 것이 있습니다.
매핑 정밀도	보안 요소가 적절한 CWE 식별자에 정확하게 링크됩니다.
CWE 매뉴얼	CWE, CWE 호환성 및 CWE 관련 기능의 사용 방법에 대해 설명합니다.
CWE의 대상	CWE-호환성과 CWE-Effectivity의 경우 기능 설명서에 소프트웨어 내에서의 검출에 대해 커버리지와 유효성이 요구되는 CWE-ID가 명시되어 있습니다.
CWE 테스트 결과	CWE-Effectivity의 경우 CWE의 소프트웨어 평가 결과를 나타내는 기능 테스트 결과가 CWE 웹사이트에 게시됩니다.

CWE Compatible ^[7]자격을 획득한 제품 및 서비스를 개발 및 유지하는 조직은 2019년 9월 현재 56개입니다.

연구, 비평 및 새로운 개발

일부 연구자들은 CWE의 모호성을 피하거나 ^[8]줄일 수 있다고 생각한다.

「 」를 참조해 주세요.

• 일반 취약성 및 노출(CVE)
• 공통 취약성 스코어링 시스템(CVSS)
• National Vularability Database

레퍼런스

외부 링크

• 기존의 보안 취약점에 대한 응용 프로그램 인증 공통 취약점 열거(CWE) 작업 // 2007년 3월 6일
• "Classes of Vulnerabilities and Attacks" (PDF). Wiley Handbook of Science and Technology for Homeland Security. comparison of different vulnerability Classifications. Archived from the original (PDF) on 2016-03-22.{{cite web}}: CS1 유지보수: 기타 (링크)