漏洞
CWE(通用缺陷枚举)
别称: 弱点类型, CWE 编号
定义
由社区维护的软件与硬件弱点类型分类体系,描述导致漏洞的根本性缺陷类别。
CWE 是由 MITRE 维护的分层目录,对漏洞背后的根因弱点进行分类,例如 CWE-79(跨站脚本)或 CWE-787(越界写)。CVE 描述的是某个具体存在缺陷的产品,而 CWE 描述的是产生该缺陷的错误类别。CWE 是每年发布的《CWE Top 25 最危险软件弱点》的基础,被 SAST 工具用于标记发现项,并支撑安全编码培训。它为工程师提供讨论设计与编码陷阱、以及将控制措施映射到安全开发生命周期的统一术语。
示例
- CWE-89:SQL 注入。
- CWE-416:释放后使用(Use After Free)。
相关术语
漏洞
系统、应用或流程中可被攻击者利用以破坏机密性、完整性或可用性的弱点。
CVE(通用漏洞披露)
为每个已披露的软件或硬件漏洞分配唯一标识符的公共目录,使其能在全行业被明确引用。
SANS Top 25
SANS Top 25 — definition coming soon.
Secure Coding
Secure Coding — definition coming soon.
SAST(静态应用安全测试)
在不执行代码的前提下,对源代码、字节码或二进制进行自动化分析,以发现注入、不安全 API 或弱加密等安全缺陷。
OWASP Top 10
OWASP Top 10 — definition coming soon.