Estoy escribiendo un artículo sobre "El rol de la arquitectura y el diseño en Software Assurance" y un comentarista preguntado "Brindar un caso más sólido para usar el CWE sobre el CVE. Explicar cómo se relacionan las vulnerabilidades del CVE con la fase de diseño y el análisis de código estático . " Como el artículo es más para los ingenieros y desarrolladores de software, busco una explicación precisa, clara y concisa que se dirija a esa audiencia.
En pocas palabras: los CVE son para "conocidos conocidos" o vulnerabilidades específicas. Los CWE son para "tipos de incógnitas desconocidas" o tipos de vulnerabilidad . Los escáneres dinámicos están buscando instancias de vulnerabilidades ya identificadas. Los escáneres estáticos también hacen eso, pero una de sus principales ventajas es que también están buscando no identificadas nuevas vulnerabilidades.
Un ejemplo obvio es que si está probando un código que el mundo nunca ha encontrado antes, ¿cómo podría haber un CVE registrado al respecto? Sin embargo, puede hablar sobre el tipo del problema, y eso es lo que hace un CWE.
Como parte de la creación del CVE, MITRE desarrolló en 2005 una clasificación y clasificación preliminar de vulnerabilidades, ataques, fallas y otros conceptos para generalizar el CVE en debilidades comunes del software. Sin embargo, si bien son suficientes para CVE, esas agrupaciones eran demasiado duras para ser utilizadas para identificar y categorizar la funcionalidad ofrecida por los fabricantes de herramientas de evaluación de seguridad de código. La Lista CWE se creó para atender mejor esas necesidades adicionales. Los CVE son similares a un inventario de accidentes de tráfico, mientras que los CWE son análogos a las condiciones (por ejemplo, arquitectura de carreteras, diseño de puentes y carreteras, señalización de tráfico, prácticas de manejo, procedimientos de cumplimiento) que conducen a accidentes. Dada la gran cantidad de CVE y el proceso para informarlos, las referencias de CVE a causas arquitectónicas y de diseño son intermitentes y en gran parte no están verificadas. Al generar hallazgos a partir de las exploraciones de código, las herramientas de análisis de código estático pueden recurrir al CWE para obtener descripciones de debilidades y recomendaciones de mitigación; La identificación del CVE relevante sería difícil dada su especificidad y su desconexión del código que los generó.
Lea otras preguntas en las etiquetas static-analysis code-review cve