CWE (Common Weakness Enumeration)

También conocido como: Tipo de debilidad, Identificador CWE

Taxonomía comunitaria de tipos de debilidades de software y hardware: las clases de defecto que originan vulnerabilidades.

CWE es un catálogo jerárquico mantenido por MITRE que clasifica las debilidades de causa raíz tras las vulnerabilidades, como CWE-79 (XSS) o CWE-787 (escritura fuera de límites). Mientras que un CVE describe un producto concreto defectuoso, el CWE explica el tipo de fallo que lo produjo. Las CWE alimentan el CWE Top 25 anual, son usadas por herramientas SAST para etiquetar hallazgos y sustentan la formación en programación segura. Proporcionan a los ingenieros un vocabulario común para discutir errores de diseño y codificación y para mapear controles en ciclos de desarrollo seguro.

Ejemplos

CWE-89: Inyección SQL.
CWE-416: Uso después de liberar (Use After Free).

Términos relacionados

Vulnerabilidad
Debilidad en un sistema, aplicación o proceso que un atacante puede explotar para vulnerar la confidencialidad, integridad o disponibilidad.
CVE (Common Vulnerabilities and Exposures)
Catálogo público que asigna un identificador único a cada vulnerabilidad divulgada para referenciarla de forma inequívoca en todo el sector.
SANS Top 25
SANS Top 25 — definition coming soon.
Secure Coding
Secure Coding — definition coming soon.
SAST (Pruebas estáticas de seguridad de aplicaciones)
Análisis automatizado de código fuente, bytecode o binarios —sin ejecutarlo— para detectar debilidades de seguridad como inyección, APIs inseguras o criptografía débil.
OWASP Top 10
OWASP Top 10 — definition coming soon.

Definición

Ejemplos

Términos relacionados

Vulnerabilidad

CVE (Common Vulnerabilities and Exposures)

SANS Top 25

Secure Coding

SAST (Pruebas estáticas de seguridad de aplicaciones)

OWASP Top 10