覆盖硬件设计!MITRE发布通用弱点枚举CWE 4.0版本

覆盖硬件设计!MITRE发布通用弱点枚举CWE 4.0版本

黑帽SEO访客2021-10-11 13:33:007203A+A-

MITER可能以其ATT&CK框架,对抗策略和技术的丰富来源以及缓解措施而闻名,而MITER也以另一种资源而闻名:通用弱点枚举(CWE)。CWE是由网络安全和基础结构安全局(CISA)发起的一项社区计划。对该存储库做出贡献的社区非常广泛且多样化。它包括大型公司、大学、个人研究人员和政府机构。

CWE强调,养成安全检查和安全编码实践的习惯,不仅是“安全左移”的需要,同时也能加强其他安全实践(例如通过自动化进行静态代码分析)。

与ATT&CK框架侧重于“红队”攻防不同,CWE对于主动管理风险非常有用。CWE枚举了常见的安全弱点,是漏洞管理的必备利器,并且可以有效地检查企业内部潜在的危害点。CWE允许用户按软件、硬件等分类来搜索弱点列表,方便风险分析师进行详细的深入分析。近日CWE更新到了4.0版本,我们一起来看下都有哪些值得关注的新功能。

4.0新增功能

4.0版本最值得注意的更新是增加了硬件安全缺陷、将漏洞分为有用类别的若干视图以及搜索功能。硬件缺陷主要来自硬件设计上,因此,负责硬件开发的任何人员都可以在设计阶段利用此列表进行风险分析,或者通过使用列表设计测试来确定当前硬件是否容易受到影响(如果尚未安装自动化系统)。

新视图是对威胁和风险分析的有益补充,并且可以替代漏洞管理程序,尽管它不能替代常规自动扫描。新视图包括“设计时介绍”,“实施时介绍”、几种特定于编码语言的弱点以及查看整个弱点列表的简便方法等。

CWE列表使用几个外部映射,这些映射也被组织到列表视图中,这有助于对弱点进行优先级排序或检查。例如,CWE Top 25和OWASP Top 10是快速确定要首先分析和解决的弱点的优先级。语言编码标准可以帮助确保开发人员遵循安全的编码惯例,并提供良好的交叉检查。架构概念提供了通用的安全开发框架,也是制定威胁和安全清单的好方法。

总结

CWE为开发人员、设计人员、安全分析人员和研究人员提供了重要资源,以发现漏洞并在漏洞被利用之前开发缓解措施。与某些主要面向IT或安全工程师为的资源不同,CWE在保护企业的过程中将开发人员,设计师和架构师放在首位。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 语酌岁笙2022-05-28 15:58:02
  • 漏洞管理程序,尽管它不能替代常规自动扫描。新视图包括“设计时介绍”,“实施时介绍”、几种特定于编码语言的弱点以及查看整个弱点列表的简便方法等。CWE列表使用几个外部映射,这些映射也被组织到列表视图中,这有助于对弱点
  • 死在江南烟雨中12022-05-28 20:47:59
  • MITER可能以其ATT&CK框架,对抗策略和技术的丰富来源以及缓解措施而闻名,而MITER也以另一种资源而闻名:通用弱点枚举(CWE)。CWE是由网络安全和基
  • 瑰颈好倦2022-05-28 20:32:56
  • MITER可能以其ATT&CK框架,对抗策略和技术的丰富来源以及缓解措施而闻名,而MITER也以另一种资源而闻名:通用弱点枚举(CWE)。CWE是由网络安全和基础结构安全局(CISA)发起的一项社区计划。对该存储库做出贡献的社区非常广泛且多样化。它包括大型公司、大学、个人研究人员和政府机构。CWE强

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理