细数应用软件的缺陷分类
本文分享自华为云社区《应用软件的缺陷分类》,作者:Uncle_Tom 。
软件缺陷分类在已知缺陷管理、缺陷用例库建设、静态检查工具的能力覆盖和横向对比中起着重要的作用。本文参考GB/T-30279, CNNVD,NVD,以及CWE的各种视图, 给出了一个建立适合自己的缺陷分类方法。
1. 软件缺陷分类的作用最近先后几波同事找到我这边来讨论软件缺陷分类。
(资料图)
业界现在有那些软件缺陷分类可以做为参考,以及如何建立适合自己的缺陷分类?
2. 《GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南》《GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南》对于网络安全漏洞,国家在2020年颁布的国标《GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南》,并于2021.06.01投入使用。这个标准的网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行的划分,分类导图如下图所示。标准采用树形导图对漏洞进行分类,首先从根节点开始,根据漏洞成因将漏洞归入某个具体的类别,如果该类型节点有子类型节点,且漏洞成因可以归入该子类型,则将漏洞划分为该子类型,如此递归,直到漏洞归入的类型无子类型节点或漏洞不能归入子类型为止。
分类导图按照这个分类标准,国家缺陷漏洞库(CNNVD)将信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。
这个分类方式参考了CWE的 3.1版本,3.1版本从2018-03-29 到 2019-01-03使用。目前随着CWE的这几年的快速发展,里面的CWE-16 配置错误,CWE-17 代码问题,已经废弃不再使用。虽然这个分类覆盖了网络安全的主要缺陷类型,但也存在着分类粒度过大,无法完成缺陷分类的全覆盖的问题。
3. 美国国家通用漏洞数据库(NVD)的分类指导美国国家通用漏洞数据库(NVD)从一开始就参考了CWE 的分类方式对发现的CVE进行缺陷分类指导。
3.1. 从2008到2016年从2008到2016年, 主要参考视图CWE-635 NVD 2008-2016。如下图:
CWE-635 NVD 2008-2016这个版本的分类主要有19个分类。国标的分类和这个分类有很大程度的吻合,可以说基本上一致。
3.2. 2016年之后NVD 主要参考CWE的1003视图,如下图。
CWE-1003 弱点映射到已发布漏洞的简化视图CWE-1003视图包含 37个一级节点,一共130个分类节点。
随着各种缺陷的不断发现,CWE的分类也在不断的完善过程中,特别是这几年,几乎每年都有3-4此的更新,为了使发现的CVE能够得到尽可能准确的CWE分类,在主页面上特别增加了一个CVE对应CWE的菜单CVE Mapping CWE guidance,协助用户完成对应任务。
同时这几年CWE也连续发布了各年的最危险的25种安全问题,详见:
2023年最具威胁的25种安全漏洞(CWE TOP 25)CWE4.8 – 2022年危害最大的25种软件安全问题CWE发布2021年最危险的25种软件缺陷在进行历年TOP 25的问题的统计过程中,CWE的研究人员也发现了软件问题分类给统计工作带来的困扰,在不断的修正着分类的从属关系,使之保持正交的分类统计方式,避免因问题分类问题导致的缺陷的重复计算。
4. 常用CWE分类视图CWE做为软件缺陷分类的重要标准, 对安全研究、安全标准、缺陷管理起了重要的纽带作用。CWE使代码缺陷不同领域的研究人员在交流安全问题时,能够采用相同的定义,减少了歧义性。
CWE(Common Weakness Enumeration)。CWE被用于以下目的:
用通用语言描述和讨论软件和硬件的弱点;检查现有软件和硬件产品中的弱点;评估针对这些弱点的工具的覆盖范围;利用常见的基准标准来识别,缓解和预防漏洞;在部署之前防止软件和硬件漏洞;更多的介绍见:
话说CWE 4.2的新视图CWE视图层级关系的解析 之 CWE节点的存储和定义4.1. CWE-699 开发者视图CWE-699 开发者视图,这个视图主要以开发者的角度,围绕软件开发中经常使用或遇到的概念来组织弱点。这包括软件开发生命周期的所有方面,包括体系结构和实现。因此,这种观点可以与架构师、开发人员、江南app在线登录官网 工作者和评估供应商的观点紧密一致。它提供了各种类别,旨在简化导航、浏览和映射。
这个视图包含40个分类,以及399个节点。
4.2. CWE-1000 研究者视图CWE-1000 研究者视图, 该视图旨在促进对弱点的研究,包括弱点之间的相互依赖性,并可用来系统地找出CWE内部的理论差距。该视图面向的是学术研究人员、漏洞分析人员和评估工具厂商。它对弱点进行了分类,在很大程度上忽略了如何检测它们,它们出现在代码中的什么地方,以及它们何时被引入软件开发生命周期。相反,它主要是根据软件行为的抽象来组织的。这种分类方法不关心缺陷的检测方法,缺陷在代码中的位置,在软件开发生命周期中何时引入缺陷。该视图主要基于对软件行为进行抽象描述的方法组织归类。
这个视图包含10个分类,933个节点。这个视图涵盖了所有的节点。
4.3. CWE-1400 软件安全保障分类研究人员在使用CWE进行软件缺陷分类的过程中,发现分类之间的重合会给分类和研究带来很多的困惑。大家需要一个类别之间相互排斥的分类方法,尽管这样很不容易,但还是可以通过增加节点来逐步实现。
于是在CWE4.11版本终于给出了一个建议的参考,这个就是视图:CWE-1400 软件安全保障分类, 这个视图围绕大规模软件保证研究感兴趣的类别组织弱点,以支持使用安全语言开发等策略消除弱点。还可以用于帮助跟踪公开披露的漏洞数据中的弱点趋势。这个视图是全面的,因为每一个弱点都包含在其中,而不像大多数其他只使用弱点子集的观点。这个视图是由最高级别的类别构成的,只有第二级别的弱点。研究者视图(CWE-1000)中提出的弱点之间的关系未显示。每个弱点只被添加到一个类别中。所有类别相互排斥;也就是说,任何弱点都不可能是一个以上类别的成员。虽然弱点难以仅根据一个特征进行严格的分类,但强制将其归入一个类别可以简化某些类型的分析。
这个分类方式,每个类别的规模可能差异很大,因为:(1)与其他领域相比,CWE在某些领域没有得到很好的充实;(2)分组中CWE的抽象可能会下降到Variant级别,而不是其他类型。
CWE-1400 软件安全保障分类,如下图:
CWE-1400 软件安全保障分类在应用软件架构中的分布
5. 自定义缺陷分类视图在早些年,为了能更好的用于静态分析工具的对比和缺陷用例的整理, 依据代码编码过程的各个环节,对开发者视图(CWE-699)的40个分类进行了顺序调整,对节点数较小的一些分类进行了合并;同时参考研究者视图(CWE-1000),对开发者视图(CWE-699)分类中的节点进行了扩充。最终定义出适合静态分析工具检查和缺陷用例管理的视图。 视图中的定义按照编码、权限、程序间交互,以及程序设计分为31个分类。视图一共包含850个软件CWE弱点。
分类的基本原则:
覆盖软件开发的主要过程:设计,开发;覆盖应用软件的主要功能模块:外部交互;应用内部逻辑、算法;加密和权限;分类之间保持正交,不重合;为了查询节点之间的相关性,在分类内部尽可能的放置Class 节点的,并保持CW-699,CWE-1000给与的节点之间关系。自定义缺陷分类
自定义视图和其他视图的比较从CWE 4.0之后,为了完善缺陷,加入了硬件的缺陷。自定义视图并未包含硬件类缺陷,缺陷缺少的部分主要为硬件类缺陷。
自定义缺陷采用CWE 4.12版本统计、比较。
CWE 节点类型 | 本视图节点数 | 开发者视图(699) | 研究者视图(1000) | 软件安全保障视图(1400) | CWE节点总数 |
---|---|---|---|---|---|
View | 1 | 1 | 1 | 1 | 49 |
Pillar | 0 | 0 | 10 | 10 | 10 |
Category | 31 | 40 | 0 | 22 | 374 |
Class | 87 | 1 | 105 | 107 | 107 |
Base | 441 | 393 | 523 | 519 | 519 |
Variant | 284 | 25 | 288 | 290 | 290 |
Compund | 7 | 0 | 7 | 7 | 7 |
Total | 850 | 460 | 934 | 956 | 1356 |
自定义缺陷分类在应用软件架构中的分布
6. 总结软件缺陷分类能够:管理已知缺陷,加强漏洞感知机制和手段建设;建立完善的用例库,用于提升分析工具的检测和提升覆盖能力;分析静态检查工具的能力覆盖和横向对比,提升多分析工具对问题的整体覆盖能力。CWE-1400 软件安全保障分类,将软件缺陷分成了22个大类,并给出了类别相互排斥,且包含所有缺陷节点的分类方式;这个分类方式已经非常接近我们期望的放分类方式;在应用过程中,可以根据自己的需要定义分类视图,以便更好的关注自己应用软件的高发问题,文中给出了一个建议的样例。7. 参考《GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南》《Measures for excellence: reliable software on time, within buget》Lawrence H. Putnam, Ware Myers, 1991.10Orthogonal Defect Classification - A Concept for In-Process Measurements,IEEE Transactions on Software Engineering ( Volume: 18, Issue: 11, November 1992IEEE Std 1044-1993.IEEE standard classification for anomalies. The Institute of Electrical and Electronics Engineers,1993Common Weakness EnuimerationCWE-635 Weaknesses Originally Used by NVD from 2008 to 2016CWE-699 Software DevelopmentCWE-1000 Research ConceptsCWE-1400 Comprehensive Categorization for Software Assurance Trends点击关注,第一时间了解华为云新鲜技术~
标签:
抢先读
- 细数应用软件的缺陷分类
- “辣妹”,今夏快时尚的销量密码
- 国家发改委:生猪价格退出过度下跌一级预警区间
- 终于揭开真相!财政如此吃紧,钱都花去哪了?这2项支出增长最快
- 黑龙江省终止省级防汛三级应急响应
- 公安部交通管理局推出优化机动车登记服务新措施
- 大禹节水(300021.SZ):公司去年买入的信托资金,本金利息已全部收回
- 扣槃扪烛是什么意思(扪烛扣盘简介)
- 祝贺!我国成功发射和德三号A~E星
- 最高法司法解释:危害国家一级保护野生植物一株以上即可入刑
- 数据中心概念走势活跃!朗威股份“20cm”涨停 华是科技等大涨
- 2023顺德soulpop音乐节常见问题汇总
- 电子显示屏怎么设置 电子显示屏设置方法 电子显示屏怎么用手机设置方法
- 游戏鼠标双击怎么回事 游戏鼠标双击原因分析 鼠标点击游戏
- 罗宾喂路飞吃东西是哪一集(海贼王罗宾黄短片)
- 数字经济走向深水区:数实融合深化 基础软件和数据安全迎新挑战
- 公共文化服务管理专业学什么(公共文化服务与管理专业介绍)
- 市场监管总局:上半年食品安全监督抽检不合格率2.40%
- 山东青岛:菌菇特色农业助民增收促乡村振兴
- “挡脸”身份证保护套火了,违法不?民警这样说
- 午评:沪指跌逾1%,江南体育平台官网下载 、酿酒等板块走低,医药股逆市拉升
- 资观帮忙(58 )|安装卷帘门 地下停车位变身储物间 相关部门:属违建 监督拆除
- 案例:终止华人免签、拒绝中国高铁!公开称:“不欢迎中国人”!
- 上海网络辟谣:有医院收到数十亿退款?医疗反腐民心所向,但谣言也要坚决抵制
- 讯飞星火位列国产主流大模型测评榜首位
- 极狐新车N51内饰专利图亮相,采用无传统仪表 /大尺寸HUD设计
- IF当月合约剔除分红后年化基差11.09%,沪深300ETF易方达(510310)连续20个交易日资金净流入,合计“吸金”约60亿元
- 央行:7月M2同比增长10.7% 社会融资规模增量为5282亿元
- 深圳龙华臻著雅居预计9月底开售 毛坯限价7.33万元/平米
- 瑞银房东明:大宗交易纳入互联互通将减少交易成本,提高交易效率,推动市场化进程
- 方糖社《炼爱秘仪》上线Steam:中文支持 支持中文语音
- 刺嫩芽(丰林县特产)
- 中国电信客服致歉回应双倍扣话费:系统升级导致余额显示异常
- 背背佳有效果? 背背佳有效果
- 消息称谷歌已于7月开始向ChromebookOEM收取授权费
- 绥德城关派出所多措并举扎实推进夏季治安打击整治行动
- 8月14日江苏屿鑫金属不锈钢报价上涨
- Hi4-T挑战牧马人,谁能赢?
- 证券板块快速拉升 首创证券涨停
- 最高法:有效强化破坏森林资源犯罪的源头治理
- 8月14日聊城市开发区志启无缝管报价下跌
- 8月14日鲁西化工甲烷氯化物价格调整
- 上半年深圳实际使用外资416亿元 同比增长10.6%
- 8月14日山东东银金属材料无缝管价格下跌
- 8月14日杭州新双联不锈钢板报价上涨
- 马斯克和扎克伯格“约架”可能要凉了?马斯克以手术为由推迟对决,扎克伯格吐槽马斯克“不认真”
- 宜春这两所学校建设“进度条”刷新
- LibreOffice 支持导出 APNG 格式文件
- 创业板指跌幅扩大至2%,宁德时代跌超4%
- 宇信科技8月14日盘中涨幅达5%
- 临夏县:以文旅融合富民惠民乐民
- 8月14日黑龙江地区粗苯市场价格上涨
- 驴友擅闯卧龙险殒命 救援队60余小时搜山救人
- 8月14日河南永昌硝基肥硝酸铵价格暂稳
- 蘼(关于蘼简述)
- 重庆将新增公共快充站+1340座、自用充电桩+29.8万个
- “60+”张学友演唱会跌倒自称耳水不平衡,还与歌迷约定70+再见
- 7月上海人民币贷款减少234亿元 同比多减419亿元
- 匿名人身攻击、P明星丑图引战,臭气熏天的“网络厕所”该怎么治
- 快捷酒店价格,为何直追星级酒店?
- 8月14日山东地区硝酸铵价格暂稳
- 暑假旅游市场回暖 酒店房源“紧俏”价格上涨
- 龙头企业稳坐电子化学品产业“头把交椅”
- 8月14日国内现货锡市场价格下调
- 美国上半年轮胎进口量同比降23.2%
- 中国能建、中车株洲所与湖南茶陵签约风光储一体化示范基地项目
- 三五互联:公司光伏项目预计8月底前首片下线
- 云从科技中报解读:研发加码深筑护城河,商业进程加速未来可期
- 90多岁时仍在创作,他的150幅书法遗作正在长沙展出
- 泉提示丨这几种情况千万别坐电梯!安全乘梯须牢记这几点→
- 新进展!武汉地震监测中心被网攻“幕后黑手”已锁定
- 威迈斯(688612):8月14日技术指标出现看涨信号-“红三兵”
- 那个找不到工作的程序员,靠女朋友打两份工养活,竟然财务自由了!
- 虎兴社区(关于虎兴社区简述)
- 2023税务师考试《涉税服务相关法律》第一篇第四章高频考点
- 北京房山区82处水毁点位临时修复全部完成
- 国家统计局:8月上旬生猪(外三元)价格环比上涨14.6%
- 8月14日广东地区萤石市场价格暂稳
- 8月14日浙江地区萤石市场价格暂稳
- 农业农村部紧急部署蔬菜抗涝减灾和秋冬稳产保供工作
- 8月14日连豆早盘下跌
- 【宏观洞见】7月江南体育平台官网下载 数据解读:信贷小月投放较弱,社融增速继续下降
- 【Hi 资阳城市发展合伙人】⑩科技创新 让“锂”想照进现实
- 再传佳讯!资阳妹子蒋欣玗昆网夺冠
- 泰国朝阳群众举报邻居豪宅开毒趴,多名外国人被捕
- 8月14日鑫晨矿产萤石价格报价暂稳
- 澳凯富汇2023年上半年净利-153.43万 亏损减少49.31%
- 大禹节水:去年买入的信托资金本金利息全部收回
- 8月14日灌阳县宏腾萤石价格暂稳
- 内蒙古扎兰屯300MW风电项目并网发电!
- 专访 | 鲁迪·加西亚:“我们在夏训营练得很苦,...
- 易组织的体育游戏七例(收藏开学用)
- 2023年宴会基本礼仪 参加宴会涉及的礼仪知识点和注意事项优秀4篇
- 白糖建议以观望或逢低轻仓试多为主
- 把握绿色机遇,打开高质量发展空间
- 曲阳县恒州镇党员干部防汛救灾冲在前
- 丸子怎么做?
- 男子要女孩微信被拒后对其爸爸动手?警方通报
- 今日广东降水整体减弱西部局地仍有暴雨 明后天大部炎热天气上线
- 8月14日生意社环己烷基准价为6833.33元/吨