В этой теме нет ответов

[Case]

Словарь багов поможет исключить путаницу

Cпонсируемый Министерством национальной безопасности США план создания стандартного словаря уязвимостей начинает обретать конкретные очертания.

Проект, называемый Common Weakness Enumeration (CWE), нацелен на создание официального списка возможных пробелов в системе защиты программного обеспечения, таких как переполнение буфера или ошибки формата строки. Этот словарь должен стать основой общепринятого языка для описания уязвимостей программного обеспечения, заменив многочисленные термины, которые сегодня применяют многие ИТ-компании и поставщики ПО безопасности.

«Без общего, точного описания этих уязвимостей усилия по борьбе с ними будут неэффективными, решая проблему лишь частично», — заявил на конференции Black Hat в Арлингтоне Стив Кристи, главный инженер по безопасности некоммерческой организации Mitre, курирующей инициативу CWE.

Выпустив словарь, Mitre надеется предложить общий стандарт терминологии, применяемой для описания методов определения, устранения и предотвращения ошибок в ПО. CWE может служить также эталоном для покупателей программного обеспечения, в особенности средств защиты, предназначенных для выявления или предотвращения определенных проблем безопасности.

Mitre работает над CWE уже полтора года. Организация собирает и унифицирует данные из многих источников, включая производителей инструментов безопасности. Задача эта оказалась не из легких. Только один список уже содержит 300 категорий ошибок. «Половина определений CWE вообще не покрывается ни одним инструментом, а 29% покрываются только одним», — заметил Кристи. Речь идет об инструментах поиска ошибок в исходном коде программ, которые выпускают Fortify Software, Coverity, Klocwor и другие компании.

Некоторые поставщики средств проверки исходного кода, такие как Cigital, уже пользуются CWE. Вскоре, как надеется Mitre, к ним присоединятся остальные. 15 декабря была опубликована пятая версия проекта словаря. В шестой планируется соединить данные об уязвимостях из 16 инструментов и источников, используемых в инициативе CWE. Кристи утверждает, что словарь CWE уже готов к широкому применению. Окончательный проект должен выйти в ближайшие месяцы.

Источник: www.algonet.ru