情报笔记 CWE

CWE

CWE是美国MITRE机构提出的一套语言标准，全称为：Common Weakness Enumeration（CWE®）。

CWE衍生自CVE项目，是用于描述软件安全弱点的通用化描述语言。每个CWE条目都包含了CWE标识符/弱点类型名称、类型的描述、弱点的行为、弱点的利用方法、利用弱点的可能性、可能导致的后果、应对措施、代码示例、对应的CVE漏洞数量、参考信息等内容。

可以简单认为，CWE是CVE漏洞在软件设计、代码或实现层面的观察实例的映射。CWE尽可能地将不同类型的软件安全弱点都列举出来，并为每个弱点提供了大量实际漏洞示例。因此，CWE一直被视为对CVE的重要补充，不仅能覆盖CVE列表，而且还从其他行业和学术界提供的数据和样本中增补了更多的细节和分类结构数据。

CWE与CVE不同，主要是为了满足代码审计/管理类工具的标准化需求，并已成为评价相关工具和数据库的关键基准之一。同时，CWE业已成为软件安全基线最佳实践的一个重要组成部分。

目前，CWE列表的最新版本是V3.1。

点评：据说，MITRE正在努力实现CWE和CVE、CAPEC之间的完美映射，看好他们。

天际友盟收集整理了与威胁情报工作相关的近百个常用词条，以工作笔记本的形式推出，分享给同业者，便于日常工作的检索。

第一版目录如下，词条会不断补充完善。如果有遗漏、不足或不准确的地方，欢迎后台反馈。天际友盟会持续更新，为安全行业做好情报基础服务。

扫描微店二维码，订阅情报笔记