Common Weakness Enumeration

Common Weakness Enumeration (CWE, «Enumeración de Debilidades Comunes») es un sistema de categorías para las debilidades y vulnerabilidades del software. Se sustenta en un proyecto comunitario con el objetivo de comprender las fallas en el software y crear herramientas automatizadas que se puedan utilizar para identificar, corregir y prevenir esas fallas.[1]​ El proyecto está patrocinado por National Cybersecurity FFRDC, que es operado por The MITRE Corporation, con el apoyo de US-CERT y la División Nacional de Seguridad Cibernética del Departamento de Seguridad Nacional de Estados Unidos.[2]

La versión 3.2 del estándar CWE se lanzó en enero de 2019.[3]

CWE tiene más de 600 categorías, incluidas clases para buffer overflows, path/directory tree traversal errors, condiciones de carrera, cross-site scripting, hard-coded passwords y generación insegura de números aleatorios.[4]

Ejemplos

  • La categoría 121 de CWE es para stack-based buffer overflows.[5]

Compatibilidad con CWE

El programa de compatibilidad Common Weakness Enumeration (CWE) permite que un servicio o un producto sea revisado y registrado oficialmente como "CWE-compatible" y "CWE-Effective". El programa ayuda a las organizaciones a seleccionar las herramientas de software adecuadas y a conocer las posibles debilidades y su posible impacto.

Para obtener el estado Compatible con CWE, un producto o servicio debe cumplir con 4 de los 6 requisitos, que se muestran a continuación:

CWE Searchable Los usuarios pueden buscar elementos de seguridad utilizando identificadores CWE
CWE Output Los elementos de seguridad presentados a los usuarios incluyen, o permiten a los usuarios obtener, identificadores CWE asociados.
Mapping Accuracy Los elementos de seguridad se vinculan con precisión a los identificadores CWE apropiados
CWE Documentation La documentación de la capacidad describe CWE, la compatibilidad de CWE y cómo se utiliza la funcionalidad relacionada con CWE en la capacidad.
CWE Coverage Para CWE-Compatibility y CWE-Effectiveness, la documentación de la capacidad enumera explícitamente los CWE-ID sobre los que la capacidad tiene cobertura y efectividad.
CWE Test Results Para CWE-Effectiveness, los resultados de las pruebas de la capacidad muestran los resultados de la evaluación del software para los CWE publicados el sitio web de CWE

Hay 56 organizaciones a septiembre de 2019 que desarrollan y mantienen productos y servicios que alcanzaron el estado CWE-Compatible.[6]

Investigación, críticas y nuevos desarrollos

Algunos investigadores piensan que las ambigüedades en CWE se pueden evitar o reducir.[7]

Véase también

Referencias

Enlaces externos