CWE (Common Weakness Enumeration)

CWE ist ein von MITRE gepflegter hierarchischer Katalog, der die Ursachen-Schwächen hinter Schwachstellen klassifiziert, etwa CWE-79 (Cross-Site Scripting) oder CWE-787 (Out-of-Bounds Write). Während ein CVE ein konkretes fehlerhaftes Produkt beschreibt, erklärt der CWE die Fehlerklasse, die ihn hervorgebracht hat. CWEs bilden die Grundlage der jährlichen CWE Top 25, werden von SAST-Werkzeugen zur Klassifikation von Funden genutzt und unterstützen Secure-Coding-Trainings. Sie geben Entwicklern ein gemeinsames Vokabular für Design- und Codierungsfallen sowie für die Zuordnung von Kontrollen im sicheren Entwicklungsprozess.