脆弱性
CWE(共通脆弱性タイプ一覧)
別称: 弱点タイプ, CWE 識別子
定義
脆弱性を生み出す根本的な欠陥カテゴリを分類した、コミュニティ主導のソフトウェア・ハードウェア弱点タイプの分類体系。
CWE は MITRE が維持する階層的なカタログで、脆弱性の根本原因となる弱点を CWE-79(クロスサイトスクリプティング)や CWE-787(範囲外書き込み)などに分類します。CVE が具体的に欠陥のある製品を表すのに対し、CWE はそれを生み出した誤りの種類を表します。毎年公表される CWE Top 25 の基盤であり、SAST ツールが検出結果に付与するラベルとしても利用され、セキュアコーディング教育を支えます。設計やコーディングの落とし穴を共通の語彙で議論し、セキュア開発ライフサイクル内の対策を対応付ける手段となります。
例
- CWE-89:SQL インジェクション。
- CWE-416:解放後使用(Use After Free)。
関連用語
脆弱性
システム、アプリケーション、または運用プロセスに存在する弱点で、攻撃者が機密性・完全性・可用性を侵害するために悪用できるもの。
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
SANS Top 25
SANS Top 25 — definition coming soon.
Secure Coding
Secure Coding — definition coming soon.
SAST(静的アプリケーションセキュリティテスト)
ソースコード・バイトコード・バイナリを実行せずに自動解析し、インジェクションや安全でない API、弱い暗号などのセキュリティ欠陥を検出する手法。
OWASP Top 10
OWASP Top 10 — definition coming soon.