美國制訂軟件缺陷通用詞典 更好解決安全問題

名為Common Weakness Enumeration（CWE）的這一計劃旨在創建一個正式的軟件缺陷列表，例如緩沖區溢出缺陷和格式字符串錯誤。該列表將作為描述軟件缺陷的通用語言，取代目前高科技公司和安全廠商使用的形形色色的不同術語。

在Black Hat DC Briefings & Training會議上發言時，Mitre首席信息安全工程師史蒂夫說，沒有對這些軟件缺陷的通用描述，修正這些缺陷的努力將付之東流，最多只能解決部分問題。

通過這一詞典，Mitre希望提供識別、減輕、阻止軟件缺陷的通用標準。CWE也可以作為人們購買軟件的安全衡量標準，尤其是在購買旨在阻止或發現具體安全問題的安全工具時。

史蒂夫表示，這使買主多了一種與廠商溝通他們需求的工具。另外，CWE也有助于軟件廠商更好地理解在開發軟件時應當注意哪些方面。

為了強調CWE的必要性，史蒂夫說，早期源代碼檢查工具的缺陷定義數量非常小。他說，CWE中半數的缺陷定義是其它任何工具所不包括的，29%的缺陷定義只出現在其它一種工具中。

據Mitre稱，包括Cigital在內的源代碼安全公司已經表示將使用CWE。史蒂夫說，預計其它廠商也將采用CWE。

在過去的一年半中，Mitre一直在從事CWE項目。目前，CWE已經包含有300個缺陷類別。史蒂夫說，CWE將很快可以大規模推廣使用。正式版CWE將在未來數個月內發布。