Webinaire en vedette : Tests d'API améliorés par l'IA : une approche de test sans code | Voir le séminaire

Tout sur CWE : énumération des faiblesses communes

Portrait de Ricardo Camacho, directeur de la conformité de la sûreté et de la sécurité
le 12 août 2021
5 min lire

En surface, l'énumération des faiblesses communes (CWE) traite des catégories de vulnérabilités logicielles et matérielles. Consultez cet article pour une compréhension approfondie des vulnérabilités dans la perspective CWE, y compris le score d'énumération des faiblesses courantes et la façon de mesurer les vulnérabilités.

La cybersécurité est une question d'atténuation et de prévention lorsqu'il s'agit de CWE ou énumération des points faibles communs. La société Mitre maintient le système de catégories CWE qui répertorie les différentes vulnérabilités.

Il fonctionne aux côtés de la base de données nationale des vulnérabilités des États-Unis ou NVD, la collecte de données de gestion des vulnérabilités basée sur des normes gérées par le gouvernement fédéral. Le NIST ou National Institute of Standards and Technology supervise le NVD. OWASP, l'Open Web Application Security Project® à but non lucratif et open source, travaille également avec diligence pour renforcer la sécurité des informations Web.

Dans ce blog, nous passerons en revue tout ce que vous devez savoir pour comprendre les faiblesses des logiciels et la cybersécurité générale dans le développement de logiciels. De plus, il explique également comment les utiliser au mieux. Comme pour tout, nous devons commencer par les bases et devenir plus granulaires à partir de là. Ce blog couvrira :

  1. Qu'est-ce que CWE en matière de sécurité ?
  2. Qu'est-ce que le logiciel CWE ?
  3. Combien y a-t-il de CWE ?
  4. Quelles sont les conditions qui vous rendent vulnérable ?
  5. Quels sont les exemples de vulnérabilité ?
  6. Comment mesure-t-on la vulnérabilité ?
  7. Qu'est-ce que le score d'énumération des faiblesses communes ?
  8. Qu'est-ce que CWE vs CVE ?

Image du logo de la société Mitre en photo noir et blanc

Qu'est-ce que CWE ?

Il existe de nombreux acronymes dans tous les secteurs, mais CWE en est un important pour la sécurité des logiciels. Les outils d'analyse statique et de sécurité doivent s'appuyer sur une connaissance de ce qu'il faut rechercher et de la manière d'approcher le niveau de risque idéal adapté à votre projet.

CWE cherche à rendre la gestion des vulnérabilités plus rationalisée et accessible. Le catalogue développé par la communauté présente les faiblesses matérielles et logicielles et est décrit comme "un langage commun, un outil de mesure pour les outils de sécurité et une base de référence pour les efforts d'identification, d'atténuation et de prévention des faiblesses".

À qui appartient CWE ?

Comme mentionné, Mitre Corporation possède et entretient le CWE. Ils gèrent également des FFRDC ou des centres de recherche et développement financés par le gouvernement fédéral pour le département américain de la Sécurité intérieure, ainsi que des agences dans les domaines de la santé, de l'aviation, de la défense et, bien sûr, de la cybersécurité.

La liste CWE compile les vulnérabilités et les expositions courantes qui peuvent aider les programmeurs et les développeurs de logiciels à maintenir la sécurité des informations. Après tout, le respect des politiques de sécurité tout au long du cycle de développement est beaucoup plus facile à gérer que les stratégies post-violation.

Combien y a-t-il de CWE ?

Il n'y a qu'un seul CWE géré par Mitre Corporation. Cependant, cette liste contient plus de 600 catégories. Sa dernière version (3.2) est sortie en janvier 2019.

Code source sur un écran à la recherche de faiblesses logicielles

Qu'est-ce que le logiciel CWE ?

Les catégories pour CWE vont de tout, comme SEI CERT Oracle Coding Standard pour Java aux faiblesses sans modèles de défaillance logicielle. Heureusement, la taxonomie, l'organisation et l'accessibilité des catégories se classent très haut.

Le catalogue utilise un système numéroté sous les trois principaux domaines de vulnérabilité :

DécouvrirFonction
Développement de LogicielsLes concepts sont regroupés par fréquence de rencontre ou d'utilisation dans le développement de code source.
Conception de matérielLes faiblesses couramment observées ou utilisées dans la conception du matériel sont regroupées.
Concepts de rechercheAfin de faciliter la recherche sur les problèmes communs, les éléments sont regroupés par leurs comportements.

Par exemple, CWE-89 traite de la façon dont les failles SQL Injection se produisent, mais également des liens vers des sections CWE utiles pour atténuer davantage les faiblesses de sécurité.

CWE contre CVE

CVE est un acronyme pour les vulnérabilités et les expositions courantes. En bref : la différence entre CVE vs. CWE est que l'un traite les symptômes tandis que l'autre traite une cause. Si le CWE catégorise les types de vulnérabilités logicielles, le CVE est simplement une liste des problèmes actuellement connus concernant des systèmes et des produits spécifiques.

L'US-CERT parraine le projet et Mitre le supervise également. Le maintien du contrôle de sécurité pour l'assurance logicielle peut utiliser CVE, mais il n'est pas aussi intégral que CWE. Cependant, il est facilement compatible CWE, une fonctionnalité assurée par Mitre.

Quelles sont les conditions qui vous rendent vulnérable ?

L'identification des points de faiblesse de sécurité les plus dangereux est à la hauteur de la CWE. Les catégories peuvent vous aider à identifier exactement ce qui compromet vos systèmes et à le réparer. Quant aux conditions qui vous rendent le plus vulnérable, cela concerne souvent les plus courantes.

Quelle est la vulnérabilité la plus courante ?

La détermination de la vulnérabilité logicielle la plus courante dépend de nombreuses variables. Après tout, les défis auxquels la sécurité des applications Web est confrontée ne sont pas les mêmes que ceux des programmes hors ligne. Mais qu'il s'agisse d'une injection de commande SQL, d'un problème php, d'un tampon mémoire ou même d'éléments spéciaux, le CWE peut aider 99% du temps.

Les catégories CWE courantes et les vulnérabilités de sécurité incluent :

  • Script inter-site
  • Débordements de tampon
  • Mots de passe codés en dur
  • Erreurs de parcours d'arborescence/chemin de répertoire
  • Condition de course
  • Authentification cassée
  • Défauts d'injection
  • Contrôle d'accès cassé
  • Entités externes XML
  • Désérialisation non sécurisée

L'homme est assis dans la salle de contrôle du lancement de missiles pendant le décollage et travaille sur un système embarqué

Vs intégrés. Entreprise CWE

Connaître les types de sécurité des applications dont vous avez besoin est crucial pour tout projet. La portée du projet dictera vos points faibles. Par exemple, utilisez-vous la sécurité cloud ? Cela signifie que vous pouvez vous concentrer sur la prévention des pertes de données et la sécurité des applications.

Mais savoir si un système est une entreprise ou un système embarqué joue aussi un grand rôle.

Système d'entreprise

La communication se fait via Internet, ce qui signifie beaucoup de vulnérabilité et de risques, en particulier par rapport aux systèmes embarqués. La sécurité du réseau n'est pas aussi facile à assurer, la gestion des vulnérabilités est donc essentielle.

Système embarqué

Ces programmes sont souvent écrits en C ou C++. Pensez à des choses comme les stimulateurs cardiaques, les réfrigérateurs et les systèmes de missiles. La communication passe entre les systèmes embarqués, de sorte que les outils d'analyse statique et l'énumération des faiblesses courantes peuvent identifier les problèmes.

Meilleures pratiques d'utilisation des outils d'analyse statique

Image numérique du graphique linéaire pour la notation CWE

Qu'est-ce que la notation de l'énumération des faiblesses communes ?

L'organe de tutelle a quatre méthodologies:

  1. Cadre commun d'analyse des risques de faiblesse (CWRAF™). Ceci est utilisé avec CWSS™ pour fournir à une entreprise sa propre liste numérotée Top X des faiblesses les plus courantes.
  2. Prioriser les faiblesses en fonction de la mission de votre organisation. Toutes les entreprises n'ont pas besoin de tout réparer en même temps. Cette méthode vous permet de répondre à vos besoins les plus urgents d'une manière qui préserve l'intégrité, la fiabilité et la fonctionnalité de votre logiciel.
  3. CWE Top 25 des erreurs logicielles les plus dangereuses. Mitre met à jour cette liste de temps en temps avec l'aide de plus de 20 spécialistes de l'industrie. Il contient les faiblesses les plus courantes, comme noté pour l'époque.
  4. Système de notation des faiblesses communes (CWSS™). Le CWSS™ permet aux développeurs de hiérarchiser les problèmes avec flexibilité, collaboration et cohérence.
Un aperçu du Top 25 CWE et des dernières mises à jour à venir

Comment mesurons-nous la vulnérabilité ?

Le CWSS™ aide les développeurs à passer au crible des centaines de bogues qui peuvent être trouvés dans leur code. Cependant, des outils automatisés peuvent également être utilisés pour la notation personnalisée et les analyses de vulnérabilité, mais gardez à l'esprit que chaque outil produira son propre score.

CWSS™ utilise les éléments suivants pour maintenir la cohérence :

  • Un cadre commun favorise l'uniformité et la facilité d'utilisation et d'accès.
  • Mesures quantitatives peut aider les équipes à déterminer la portée d'un correctif.
  • Priorisation personnalisée fonctionne avec CWRAF™ pour aider les utilisateurs à trouver les types de faiblesses les plus urgents afin d'améliorer leur logiciel et leur sécurité.

Imagerie numérique abstraite pour afficher le débordement de la mémoire tampon et l'importance de la cybersécurité pour CWE

En savoir plus sur les outils compatibles CWE et CWE

Trouver et corriger des bogues reste une cible en constante évolution. Mais avoir les bons outils dans votre arsenal peut rendre le processus beaucoup plus rationalisé, simple et automatisé. Ne laissez pas vos faiblesses s'ajouter à des vulnérabilités massives. Commencez petit pour voir de gros gains sur la route.

Cybersécurité intégrée grâce aux normes de codage sécurisé CWE et CERT

Article connexe + ressources

Texte de démonstration des tests continus C & C++ à gauche avec le logo Parasoft C/C++test CT à droite
Webinaire
Inscrivez-vous maintenant : 20 novembre

Démo avec questions-réponses : tests continus C & C++

Texte de démonstration de test d'application Java à droite avec le logo Jtest à droite
Webinaire
Inscrivez-vous maintenant : 23 octobre

Démo avec questions-réponses : test d'application Java

Démo de test de logiciels C et C++
Webinaire
Inscrivez-vous maintenant : 16 octobre

Démo avec questions-réponses : test de logiciels C et C++