美国国土安全部资助的一项旨在创建安全缺陷标准词典的计划正在制订中。
名为Common Weakness Enumeration(CWE)的这一计划旨在创建一个正式的软件缺陷列表,例如缓冲区溢出缺陷和格式字符串错误。该列表将作为描述软件缺陷的通用语言,取代目前高科技公司和安全厂商使用的形形色色的不同术语。
安全工程师史蒂夫说,没有对这些软件缺陷的通用描述,修正这些缺陷的努力将付之东流,最多只能解决部分问题。通过这一词典,Mitre希望提供识别、减轻、阻止软件缺陷的通用标准。CWE也可以作为人们购买软件的安全衡量标准,尤其是在购买旨在阻止或发现具体安全问题的安全工具时。史蒂夫表示,这使买主多了一种与厂商沟通他们需求的工具。另外,CWE也有助于软件厂商更好地理解在开发软件时应当注意哪些方面。
为了强调CWE的必要性,史蒂夫说,早期源代码检查工具的缺陷定义数量非常小。他说,CWE中半数的缺陷定义是其它任何工具所不包括的,29%的缺陷定义只出现在其它一种工具中。
据Mitre称,包括Cigital在内的源代码安全公司已经表示将使用CWE。史蒂夫说,预计其它厂商也将采用CWE。
在过去的一年半中,Mitre一直在从事CWE项目。目前,CWE已经包含有300个缺陷类别。史蒂夫说,CWE将很快可以大规模推广使用。正式版CWE将在未来数个月内发布。
