Entry № 291
CWE(共通脆弱性タイプ一覧)
CWE(共通脆弱性タイプ一覧) とは何ですか?
CWE(共通脆弱性タイプ一覧)脆弱性を生み出す根本的な欠陥カテゴリを分類した、コミュニティ主導のソフトウェア・ハードウェア弱点タイプの分類体系。
CWE は MITRE が維持する階層的なカタログで、脆弱性の根本原因となる弱点を CWE-79(クロスサイトスクリプティング)や CWE-787(範囲外書き込み)などに分類します。CVE が具体的に欠陥のある製品を表すのに対し、CWE はそれを生み出した誤りの種類を表します。毎年公表される CWE Top 25 の基盤であり、SAST ツールが検出結果に付与するラベルとしても利用され、セキュアコーディング教育を支えます。設計やコーディングの落とし穴を共通の語彙で議論し、セキュア開発ライフサイクル内の対策を対応付ける手段となります。
● 例
- 01
CWE-89:SQL インジェクション。
- 02
CWE-416:解放後使用(Use After Free)。
● よくある質問
CWE(共通脆弱性タイプ一覧) とは何ですか?
脆弱性を生み出す根本的な欠陥カテゴリを分類した、コミュニティ主導のソフトウェア・ハードウェア弱点タイプの分類体系。 サイバーセキュリティの 脆弱性 カテゴリに属します。
CWE(共通脆弱性タイプ一覧) とはどういう意味ですか?
脆弱性を生み出す根本的な欠陥カテゴリを分類した、コミュニティ主導のソフトウェア・ハードウェア弱点タイプの分類体系。
CWE(共通脆弱性タイプ一覧) からどのように防御しますか?
CWE(共通脆弱性タイプ一覧) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
CWE(共通脆弱性タイプ一覧) の別名は何ですか?
一般的な別名: 弱点タイプ, CWE 識別子。