美国制订软件缺陷通用词典 更好解决安全问题

2018-06-23    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用
美国国土安全部资助的一项旨在创建安全缺陷标准词典的计划正在制订中。

  名为Common Weakness Enumeration(CWE)的这一计划旨在创建一个正式的软件缺陷列表,例如缓冲区溢出缺陷和格式字符串错误。该列表将作为描述软件缺陷的通用语言,取代目前高科技公司和安全厂商使用的形形色色的不同术语。

  在Black Hat DC Briefings & Training会议上发言时,Mitre首席信息安全工程师史蒂夫说,没有对这些软件缺陷的通用描述,修正这些缺陷的努力将付之东流,最多只能解决部分问题。

  通过这一词典,Mitre希望提供识别、减轻、阻止软件缺陷的通用标准。CWE也可以作为人们购买软件的安全衡量标准,尤其是在购买旨在阻止或发现具体安全问题的安全工具时。

  史蒂夫表示,这使买主多了一种与厂商沟通他们需求的工具。另外,CWE也有助于软件厂商更好地理解在开发软件时应当注意哪些方面。

  为了强调CWE的必要性,史蒂夫说,早期源代码检查工具的缺陷定义数量非常小。他说,CWE中半数的缺陷定义是其它任何工具所不包括的,29%的缺陷定义只出现在其它一种工具中。

  据Mitre称,包括Cigital在内的源代码安全公司已经表示将使用CWE。史蒂夫说,预计其它厂商也将采用CWE。

  在过去的一年半中,Mitre一直在从事CWE项目。目前,CWE已经包含有300个缺陷类别。史蒂夫说,CWE将很快可以大规模推广使用。正式版CWE将在未来数个月内发布。

标签: 安全 代码 推广 信息安全

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:网络惊现真假hao123 域名劫持技术升级

下一篇:赛门铁克评估Vista安全性 第三方应用软件是软肋