Common Weakness Enumeration

Common Weakness Enumeration (CWE, «Enumeración de Debilidades Comunes») es un sistema de categorías para las debilidades y vulnerabilidades del software. Se sustenta en un proyecto comunitario con el objetivo de comprender las fallas en el software y crear herramientas automatizadas que se puedan utilizar para identificar, corregir y prevenir esas fallas.^[1] El proyecto está patrocinado por National Cybersecurity FFRDC, que es operado por The MITRE Corporation, con el apoyo de US-CERT y la División Nacional de Seguridad Cibernética del Departamento de Seguridad Nacional de Estados Unidos.^[2]

La versión 3.2 del estándar CWE se lanzó en enero de 2019.^[3]

CWE tiene más de 600 categorías, incluidas clases para buffer overflows, path/directory tree traversal errors, condiciones de carrera, cross-site scripting, hard-coded passwords y generación insegura de números aleatorios.^[4]

Ejemplos[editar]

La categoría 121 de CWE es para stack-based buffer overflows.^[5]

Compatibilidad con CWE[editar]

El programa de compatibilidad Common Weakness Enumeration (CWE) permite que un servicio o un producto sea revisado y registrado oficialmente como "CWE-compatible" y "CWE-Effective". El programa ayuda a las organizaciones a seleccionar las herramientas de software adecuadas y a conocer las posibles debilidades y su posible impacto.

Para obtener el estado Compatible con CWE, un producto o servicio debe cumplir con 4 de los 6 requisitos, que se muestran a continuación:

CWE Searchable	Los usuarios pueden buscar elementos de seguridad utilizando identificadores CWE
CWE Output	Los elementos de seguridad presentados a los usuarios incluyen, o permiten a los usuarios obtener, identificadores CWE asociados.
Mapping Accuracy	Los elementos de seguridad se vinculan con precisión a los identificadores CWE apropiados
CWE Documentation	La documentación de la capacidad describe CWE, la compatibilidad de CWE y cómo se utiliza la funcionalidad relacionada con CWE en la capacidad.
CWE Coverage	Para CWE-Compatibility y CWE-Effectiveness, la documentación de la capacidad enumera explícitamente los CWE-ID sobre los que la capacidad tiene cobertura y efectividad.
CWE Test Results	Para CWE-Effectiveness, los resultados de las pruebas de la capacidad muestran los resultados de la evaluación del software para los CWE publicados el sitio web de CWE

Hay 56 organizaciones a septiembre de 2019 que desarrollan y mantienen productos y servicios que alcanzaron el estado CWE-Compatible.^[6]

Investigación, críticas y nuevos desarrollos[editar]

Algunos investigadores piensan que las ambigüedades en CWE se pueden evitar o reducir.^[7]

Véase también[editar]

Vulnerabilidades y exposiciones comunes (CVE)

Referencias[editar]

↑ «CWE - About CWE». at mitre.org.
↑ National Vulnerabilities Database CWE Slice at nist.gov
↑ «CWE News». at mitre.org.
↑ The Bugs Framework (BF) / Common Weakness Enumeration (CWE) at nist.gov
↑ CWE-121: Stack-based Buffer Overflows
↑ «CWE - CWE-Compatible Products and Services». at mitre.org.
↑ Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. Towards a “Periodic Table” of Bugs

Enlaces externos[editar]

Certificación de aplicaciones para debilidades de seguridad conocidas. El esfuerzo de la enumeración de debilidades comunes (CWE) // 6 de marzo de 2007
«Classes of Vulnerabilities and Attacks». Wiley Handbook of Science and Technology for Homeland Security. Archivado desde el original el 22 de marzo de 2016.

Datos: Q2682392

[1] «CWE - About CWE». at mitre.org.

[2] National Vulnerabilities Database CWE Slice at nist.gov

[3] «CWE News». at mitre.org.

[samate-4] The Bugs Framework (BF) / Common Weakness Enumeration (CWE) at nist.gov

[5] CWE-121: Stack-based Buffer Overflows

[6] «CWE - CWE-Compatible Products and Services». at mitre.org.

[7] Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. Towards a “Periodic Table” of Bugs

[1]

[2]

[3]

[4]

[5]

[6]

[7]