CWE-20入門

サマリ この記事の想定読者は、企業等の脆弱性ハンドリング担当者です。脆弱性情報にしばしば出てくるCWE-20の読み解き方を説明します。 CWEとは CWEはCommon Weakness Enumerationの略で、日本語では「共通脆弱性タイプ一覧」と訳されています。この訳からも分かるように、脆弱性をタイプ毎に分類しているものです。つまり、SQLインジェクション、XSS、バッファオーバーフロー等に、CWE-XXXという「分類番号」をふったものと考えるとわかりやすいでしょう。以下は、IPAが公表しているCWEの解説記事からの引用です。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.

[NOV1975]

こないだの(IPA批判の)よくわからん記事がなんでわからんのかわかった気がする。

[kenichiice]

「CWEはCommon Weakness Enumerationの略で、日本語では「共通脆弱性タイプ一覧」と訳されています。」「本稿のテーマCWE-20は、インジェクションも包含する大分類になっています。」

[rryu]

元の図ではCWE-74インジェクションはCWE-116 Improper Encoding or Escaping of Outputを介してCWE-19データ操作に直接ぶら下がっているので、IPAの人がまさにnoteで語られている混乱させる人な感じがする。

[hdkINO33]

“ということで、CWE-20が使われるケースの多くは、脆弱性公表側の怠慢や隠蔽意図によるケースが多く、悪意がないケースとしては「分類の難しいその他のケース」ということになるかと思います。”

[pathtraversal]

ほんと、なんでもかんでもCWE-20にするのやめて欲しい

[ockeghem]

脆弱性ハンドリング担当者向けにCWE-20の解説記事を書きました