CWE(通用缺陷枚举)

Q: CWE(通用缺陷枚举) 是什么?

由社区维护的软件与硬件弱点类型分类体系,描述导致漏洞的根本性缺陷类别。 它属于网络安全的 漏洞 分类。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

CWE(通用缺陷枚举) 是什么?

CWE(通用缺陷枚举)由社区维护的软件与硬件弱点类型分类体系,描述导致漏洞的根本性缺陷类别。

CWE 是由 MITRE 维护的分层目录,对漏洞背后的根因弱点进行分类,例如 CWE-79(跨站脚本)或 CWE-787(越界写)。CVE 描述的是某个具体存在缺陷的产品,而 CWE 描述的是产生该缺陷的错误类别。CWE 是每年发布的《CWE Top 25 最危险软件弱点》的基础,被 SAST 工具用于标记发现项,并支撑安全编码培训。它为工程师提供讨论设计与编码陷阱、以及将控制措施映射到安全开发生命周期的统一术语。

● 示例

01
CWE-89:SQL 注入。
02
CWE-416:释放后使用(Use After Free)。

● 常见问题

CWE(通用缺陷枚举) 是什么?

由社区维护的软件与硬件弱点类型分类体系,描述导致漏洞的根本性缺陷类别。它属于网络安全的漏洞分类。

CWE(通用缺陷枚举) 是什么意思?

由社区维护的软件与硬件弱点类型分类体系,描述导致漏洞的根本性缺陷类别。

如何防御 CWE(通用缺陷枚举)?

针对 CWE(通用缺陷枚举) 的防御通常结合技术控制与运营实践,详见上方完整定义。

CWE(通用缺陷枚举) 还有哪些其他名称?

常见的别称包括: 弱点类型, CWE 编号。

CWE(通用缺陷枚举)