Common Weakness EnumerationCommon Weakness Enumeration (CWE, «Enumeración de Debilidades Comunes») es un sistema de categorías para las debilidades y vulnerabilidades del software. Se sustenta en un proyecto comunitario con el objetivo de comprender las fallas en el software y crear herramientas automatizadas que se puedan utilizar para identificar, corregir y prevenir esas fallas.[1] El proyecto está patrocinado por National Cybersecurity FFRDC, que es operado por The MITRE Corporation, con el apoyo de US-CERT y la División Nacional de Seguridad Cibernética del Departamento de Seguridad Nacional de Estados Unidos.[2] La versión 3.2 del estándar CWE se lanzó en enero de 2019.[3] CWE tiene más de 600 categorías, incluidas clases para buffer overflows, path/directory tree traversal errors, condiciones de carrera, cross-site scripting, hard-coded passwords y generación insegura de números aleatorios.[4] Ejemplos
Compatibilidad con CWEEl programa de compatibilidad Common Weakness Enumeration (CWE) permite que un servicio o un producto sea revisado y registrado oficialmente como "CWE-compatible" y "CWE-Effective". El programa ayuda a las organizaciones a seleccionar las herramientas de software adecuadas y a conocer las posibles debilidades y su posible impacto. Para obtener el estado Compatible con CWE, un producto o servicio debe cumplir con 4 de los 6 requisitos, que se muestran a continuación:
Hay 56 organizaciones a septiembre de 2019 que desarrollan y mantienen productos y servicios que alcanzaron el estado CWE-Compatible.[6] Investigación, críticas y nuevos desarrollosAlgunos investigadores piensan que las ambigüedades en CWE se pueden evitar o reducir.[7] Véase tambiénReferencias
Enlaces externos
|