Blog News
« مقایسه CVE و CWE »
« مقایسه CVE و CWE »
ساختارهای CVE و CWE توسط شرکت MITRE به منظور مستندسازی آسیبپذیریها و نقاط ضعف فضای سایبری طراحی شده اند.
تعریف CVE : CVE مخفف and Exposures Common Vulnerabilitiesمرجعی برای دنبال کردن آسیب پذیریهای یافت شده در محصولات نرم افزاری موجود میباشد. به عنوان مثال یک CVE با شناسهCVE-2021-12345 می تواند به آسیب پذیری خاصی در نرم افزار SQL Server اشاره کند.
تعریف CWE : عبارت CWE مخفف Common Weakness Enumeration مرجعی برای دنبال کردن نقاط ضعف امنیتی متداول در نرم افزارها (یا سخت افزارها و…) می باشد. این نقاط ضعف میتوانند منتج به آسیب پذیری در نرم افزار شوند. به عنوان مثال نقاط ضعف buffer overflow یا format string که در صورت وجود در نرم افزار امکان exploit کردن آن ها توسط مهاجم وجود خواهد داشت.
مقایسه CVE وCWE : همانطور که ذکر شد CVE به یک محصول نرم افزاری خاص مرتبط میشود، ولی CWE اینطور نیست؛ بلکه CWE نقطه ضعفی است که میتواند در هر سامانهای یافت شود و توسعه دهنده میبایست نسبت به آن آگاه بوده و با کد نویسی امن از عدم وجود آن اطمینان حاصل نماید. معمولاً در CVE ها به CWE مرتبط که منجر به ایجاد آسیب پذیری شده است اشاره میشود.
نحوه بهره برداری توسعهدهندگان : با دنبال کردن CVE ها، توسعه دهندگان یک سامانه نرم افزاری می توانند آخرین آسیب پذیریهای شناخته شده بر روی محصول خود (طبیعتا در صورتی که محصول شناخته شده و مورد استفاده عموم باشد) را مشاهده کرده و نسبت به رفع آن ها اقدام نموده و نسخ جدید یا patch های امنیتی برای آن ارائه نمایند. با دنبال کردن CWE ها، توسعه دهندگان میتوانند اولویت بندی نموده نسبت به عدم وجود نقاط ضعف مهم در سامانه خود اقدام نمایند. همچنین ابزارهای امنیتی خودکار که به پایگاه داده CWE ها متصل هستند، میتوانند اسکن نقاط ضعف سیستم را بر اساس آن انجام دهند.