1. 概念
CVE (Common Vulnerabilities & Exposures,通用漏洞和风险)是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。
CWE(Common Weakness Enumeration,通用缺陷枚举)是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。CWE成立于2006年,建立之初分别借鉴了来自CVE(“Common Vulnerabilities & Exposures”公共漏洞和暴露),CLASP(Comprehensive Lightweight Application Security Process,全面轻量级应用安全过程)等组织对缺陷概念描述和缺陷分类。
CWE,先后推出了CWSS(Common Weakness Scoring System)和CWRAF(Common Weakness Risk Analysis Framework)工程研究。CWSS主要研究的是对源代码缺陷产生危害的不同等级划分,目前属于研究初期,研究报告发布于2011年。报告中称:跨站脚本攻击、SQL注入、缓冲区溢出、跨站伪造请求和信息泄漏等是危害级别最高的缺陷。CWRAF是组织综合源代码缺陷描述、CWSS评分研究结合行业业务实际推出的源代码缺陷风险评估工程。
随着CWE组织的发展,更多的研究机构、企业和个人将自身对软件源代码缺陷研究的成果与CWE分享。鉴于CWE对源代码缺陷描述的准确性和权威性,越来越多的源代码缺陷检测厂家,在产品和服务中引用CWE中的相关信息。CWE组织推出的“CWE兼容性计划”分别在产品的输出、对已知缺陷检测能力、检测结果输出、CWE信息是否可查等几方面,衡量产品或服务对CWE缺陷研究的支持情况。
2. 关系
上述两个都是由美国国土安全部(DHS)网络安全和基础设施安全局(CISA)赞助。MITRE公司是主要面向美国政府提供系统工程、研究开发和信息技术支持的非盈利性组织。MITRE公司既定期发布业界广泛引用的软件产品漏洞库CVE,也公布并实时更新包括识别、减轻和阻止软件漏洞的源代码漏洞词典库CWE及相关通用标准。
综上,大家应该已经明白了CWE和CVE之间的关系,概括的说MITER在1999年初发布了常见漏洞和暴露(CVE)清单时,就开始研究软件缺陷的分类问题。作为构建CVE的一部分,MITER的CVE团队从2005年开始对漏洞,攻击,故障和其他概念进行初步分类和分类,以帮助定义常见的软件缺陷。然而,虽然对于CVE来说足够了,但这些分组太粗糙,无法用于识别和分类代码安全评估行业提供的功能。该CWE列表的建立是为了更好地解决这些额外的需求。
