美国制订软件缺陷通用词典 更好解决安全问题

• 关 键 词：
• 安全问题
• 信息安全

名为Common Weakness Enumeration（CWE）的这一计划旨在创建一个正式的软件缺陷列表，例如缓冲区溢出缺陷和格式字符串错误。该列表将作为描述软件缺陷的通用语言，取代目前高科技公司和安全厂商使用的形形色色的不同术语。

在Black Hat DC Briefings & Training会议上发言时，Mitre首席信息安全工程师史蒂夫说，没有对这些软件缺陷的通用描述，修正这些缺陷的努力将付之东流，最多只能解决部分问题。

通过这一词典，Mitre希望提供识别、减轻、阻止软件缺陷的通用标准。CWE也可以作为人们购买软件的安全衡量标准，尤其是在购买旨在阻止或发现具体安全问题的安全工具时。

史蒂夫表示，这使买主多了一种与厂商沟通他们需求的工具。另外，CWE也有助于软件厂商更好地理解在开发软件时应当注意哪些方面。

为了强调CWE的必要性，史蒂夫说，早期源代码检查工具的缺陷定义数量非常小。他说，CWE中半数的缺陷定义是其它任何工具所不包括的，29%的缺陷定义只出现在其它一种工具中。

据Mitre称，包括Cigital在内的源代码安全公司已经表示将使用CWE。史蒂夫说，预计其它厂商也将采用CWE。

在过去的一年半中，Mitre一直在从事CWE项目。目前，CWE已经包含有300个缺陷类别。史蒂夫说，CWE将很快可以大规模推广使用。正式版CWE将在未来数个月内发布。

【深 度 阅 读】 相 关 文 章

• 五大主流印章制作软件火热横评
• 9款最流行的导航软件大比拼
• AfterEffects软件菜单中英文对照结构图
• 专用的反盗QQ软件----“QQ医生”