软件安全新评分系统CWSS和CWRAF

随冲进黑客主义近年民族国家间谍活动 更别说网上犯罪持续高发 公司需要更好的工具评价 开发者代码质量

Mitre政府承包商SANS学院和美国国土安全部周一发布两个框架 评估编程缺陷 及其对关键商业系统的影响第一个项目帮助公司和软件开发者在讨论编程漏洞时使用同语言被称为常见弱评分系统主动定义某些缺陷的严重性并按其潜在作用优先排序

本行业基本说道 代码有坏东西 通过工具运行代码 我们会告诉你 一堆坏事你可以消除 ” Bob Martin说 Mitre程序主管更新工具优先处理软件中潜在缺陷, “每个商家都有自己的优先排序,这可能与某些缺陷有多差无关。”

读COS文章企业风险管理软件安全问题

CWSS尝试想出公共评分系统漏洞.Mitre与SANS学院(教育和培训组织)联手发布年度清单上层- 25脆弱点影响软件今年三大脆弱点是SQL注入、OS指令注入和或许旧待命点缓冲溢出

评分帮助开发者集中处理代码中某些缺陷,列表无法测量漏洞对特定公司环境的影响Mitre创建常见弱风险分析框架或CWRAF项目旨在允许公司创建Vignette或假想软件使用域与技术与商业效果并发举例说,工业控制系统可能包含嵌入式系统 和能源工业控制系统

读取构件信息系统审核中应包含良好的风险分析

WCRAF允许你工作经历-应用类型和企业关注驱使你关心一种故障模式

公司不应期望看到软件开发过程管理方式的重大变化-然而。CWSS和CWRAF都仍在演化中,

软件商店的首要问题之一是 技术查找问题在过去10年中进化了很多, 但现在我们需要想出 如何优先处理问题 并想出处理方法

系统全点是自动分析漏洞,以便开发商和客户能够更好地分解安全性问题同时,系统必须足够灵活,以便人跨入可能受漏洞影响的系统分配值

West表示, 试图以自动化方式优先处理漏洞的任何人所面临的挑战之一是微小商业环境造系统既可普及又可高度自动化 并保持足够的弹性 允许人对它施加影响