« مقایسه‌ CVE و CWE »

ساختارهای‌ CVE و CWE توسط‌ شرکت‌ MITRE به‌ منظور مستندسازی‌ آسیب‌پذیری‌ها و نقاط ضعف‌ فضای‌ سایبری‌ طراحی‌ شده اند.

تعریف‌ CVE :  CVE مخفف and Exposures ‌ Common Vulnerabilitiesمرجعی‌ برای‌ دنبال کردن آسیب‌ پذیری‌های‌ یافت‌ شده در محصولات نرم افزاری موجود می‌باشد. به‌ عنوان مثال یک‌ CVE با شناسه‌CVE-2021-12345 می‌ تواند به‌ آسیب‌ پذیری‌ خاصی‌ در نرم افزار SQL Server اشاره کند.

تعریف‌ CWE : عبارت CWE مخفف‌ Common Weakness Enumeration مرجعی‌ برای‌ دنبال کردن نقاط ضعف‌ امنیتی‌ متداول در نرم افزارها (یا سخت‌ افزارها و…) می‌ باشد. این‌ نقاط ضعف‌ می‌توانند منتج‌ به‌ آسیب ‌پذیری‌ در نرم افزار شوند. به‌ عنوان مثال نقاط ضعف‌ buffer overflow یا format string که‌ در صورت وجود در نرم افزار امکان exploit کردن آن ها توسط‌ مهاجم‌ وجود خواهد داشت‌.

مقایسه‌ CVE وCWE : همانطور که‌ ذکر شد CVE به‌ یک‌ محصول نرم افزاری‌ خاص مرتبط‌ می‌شود، ولی‌ CWE اینطور نیست‌؛ بلکه‌ CWE نقطه‌ ضعفی‌ است‌ که‌ می‌تواند در هر سامانه‌ای‌ یافت‌ شود و توسعه ‌دهنده می‌بایست‌ نسبت‌ به‌ آن آگاه بوده و با کد نویسی‌ امن‌ از عدم وجود آن اطمینان حاصل‌ نماید. معمولاً در CVE ها به‌ CWE مرتبط‌ که‌ منجر به‌ ایجاد آسیب‌ پذیری‌ شده است‌ اشاره می‌شود.

نحوه بهره برداری‌ توسعه‌دهندگان : با دنبال کردن CVE ها، توسعه‌ دهندگان یک‌ سامانه‌ نرم افزاری‌ می‌ توانند آخرین‌ آسیب ‌پذیری‌های‌ شناخته‌ شده بر روی‌ محصول خود (طبیعتا در صورتی‌ که‌ محصول شناخته ‌شده و مورد استفاده عموم باشد) را مشاهده کرده و نسبت‌ به‌ رفع‌ آن ها اقدام نموده و نسخ‌ جدید یا patch های‌ امنیتی‌ برای‌ آن ارائه‌ نمایند. با دنبال کردن CWE ها، توسعه‌ دهندگان می‌توانند اولویت‌ بندی‌ نموده نسبت‌ به‌ عدم وجود نقاط ضعف‌ مهم‌ در سامانه‌ خود اقدام نمایند. همچنین‌ ابزارهای‌ امنیتی‌ خودکار که‌ به‌ پایگاه داده CWE ها متصل‌ هستند، می‌توانند اسکن‌ نقاط ضعف‌ سیستم‌ را بر اساس آن انجام دهند.