脆弱性評価システムを作る〜CWE〜

週間・脆弱性評価システムを作ろう〜CWEとは〜

前回に引き続いて脆弱性情報についてです。今回はCWEについてまとめました。
ソースは引き続きIPAとChatGPTとなります。

CWE(Common Weakness Enumeration)

共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)は、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準を目指しています。
1999年頃から米国政府の支援を受けた非営利団体のMITREが中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました。
CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するための、脆弱性の種類(脆弱性タイプ)の一覧を体系化して提供しています。CWEを用いると、ソフトウェア開発者やセキュリティ専門家などに次のようなメリットがあります。
ソフトウェアのアーキテクチャ、デザイン、コードに内在する脆弱性に関して、共通の言葉で議論できるようになる。
脆弱性検査ツールなど、ソフトウェアのセキュリティを向上させるための、ツールの標準の評価尺度として使用できる。
脆弱性の原因を認識し、脆弱性の低減を行い、再発を防止するための共通の基準として活用できる。
現在、CWEは、NISTのNVD、OWASPのTop Ten Projectや、いくつかのセキュリティベンダーなどで実際に活用されています。

CWEにはCWE互換認定の制度があり、脆弱性検査ツールや脆弱性対策情報提供サービス等がCWE識別子の正確な表示、CWE識別子による情報の検索などの機能要件を満たし、MITRE社へ申請するとCWE互換認定が受けられます。CWE互換認定を受けると、MITRE社のウェブサイトで紹介される、CWEのロゴが使用できる等のメリットがあります。

CWEの構造

CWEでは多種多様な脆弱性の種類を脆弱性タイプとして分類し、それぞれにCWE識別子(CWE-ID)を付与して階層構造で体系化しています。上位層に近いほど抽象的な脆弱性タイプを表し、下位層にいくほど具体的な脆弱性タイプや個々の脆弱性を表しています。

脆弱性タイプは、ビュー(View)、カテゴリー(Category)、脆弱性(Weakness)、複合要因(Compound Element)の4種類に分類されます。現在、ビュー(View)として22個、カテゴリー(Category)として105個、脆弱性(Weakness)として638個、複合要因(Compound Element)として12個、合計777個の脆弱性タイプが分類され一覧となっています。

詳細はIPAの以下のリンクを参照ください。 共通脆弱性タイプ一覧CWE概説

コメント

コメントを投稿

このブログの人気の投稿

【python】PySide6 におけるウィンドウとかダイアログボックス内のアイテムの自動調整

PySide6 におけるウィンドウとかダイアログボックス内のアイテムの自動調整 PySide6などに同封されるDesignerでWindowやDialogを作成する際、verticalLayoutWidgetをまず画面いっぱいに配置して、その中にhrizonalLayoutWidgetを配置して、、、とGUIを作成していきます。 ただ、Designer上でverticalLayoutWidgetの設定を「SetDefaultConstraint」にする方法がわからず、毎回 GitHub Copilotに修正してもらっていたのですが、現在 GitHub Copilotの1ヶ月間で使用できる無料の範囲を使い切ってしまったので、ChatGPTに質問してみました。 質問内容はただ単に、ダイアログボックスとかの大きさにあわせてverticalLayoutWidgetを動的にサイズ変更したい、という至ってシンプルな内容です。 #before <property name="sizeConstraint"> <enum>QLayout::SizeConstraint::SetFixedSize</enum> </property> #after <property name="sizeConstraint"> <enum>QLayout::SizeConstraint::SetDefaultConstraint</enum> </property> 本当はDesignerから変更する方法がわかれば手っ取り早いのですが、今はこれで妥協しておきます。
続きを読む

脆弱性評価システムを作る〜CVSSとは〜

週間・脆弱性評価システムを作ろう〜CVSSとは〜 前回に引き続いて脆弱性情報についてです。今回はCVSSについてまとめました。 ソースは引き続きIPAとChatGPTとなります。 CVSS ( Common Vulnerability Scoring System) とは 共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトで 2004年10月に原案が作成されました。 その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。 CVSS は、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。 CVSSでは次の3つの基準で脆弱性を評価します。 CVSSの目的 標準化された評価   ベンダーごとに異なっていた脆弱性の深刻度表現を標準化し、共通の尺度で評価します。 定量的な評価   脆弱性の深刻度を0.0から10.0の数値で定量的に表現し、比較可能にします。 共通の言語   セキュリティ担当者、ベンダー、ユーザーな...
続きを読む

dict型オブジェクトを内包するlistオブジェクトのコピー

dict型オブジェクトを内包するlistオブジェクトのコピー(代入)をしたくて、当初は以下の通り行っていたが、これだと値ではなく、参照渡しがされてしまってい るようで、 work_driverPaths を変更すると driverPaths の方にもその結果が反映されてしまった。 self.work_driverPaths = self.driverPaths そのため、以下の通り copy ライブラリの deepcopy を使用して解決。 self.work_driverPaths = copy.deepcopy(self.driverPaths) コパイロットぴ◯ょん君の回答 list型とdict型を併用した場合に参照渡しが発生する要因 = で代入するときの動作だね。代入した側のオブジェクトとオリジナルのオブジェクトがリンクすることについて気づいたかな? 実際、 = は 浅いコピー(shallow copy) を作るだけなので、両方のオブジェクトが同じ参照を共有してしまうんだ。 deepcopyの機能について 深いコピー : オリジナルのオブジェクトとそのコピーが完全に独立して動作する。 再帰的処理 : 内部のネストされたオブジェクトもすべてコピーする。 安全性 : オリジナルを変更してもコピーには影響がない。
続きを読む