cwe和owasp对比分析软件缺陷的类别.doc

CWE与OWASP对比分析报告-研究CWE和OWASP的关系。归纳目前为止，双方总结的软件缺陷的类别。一 CWE和OWASP的关系CWE（Common Weakness Enumeration）指“一般弱点列举”，它是由美国国家安全局首先倡议的战略行动。在CWE站点上列有800多个编程、设计和架构上的错误，CWE文档首先列举的是针对程序员最重要的25项（Top 25），同时也是软件最容易受到攻击的点，从而帮助他们编写更安全的代码。同时文档还适用于软件设计师、架构师、甚至CIO，他们应该了解这些可能出现的弱点，并采取恰当的措施。OWASP（Open Web Application Security Project ）指“开源web应用安全项目”，它是由一个开放性社区倡议的项目，致力于帮助各组织开发、购买和维护可信任的应用程序。Top 10项目的目标是通过确定企业面临的最严重的威胁来提高人们对应用安全的关注度。使用OWASPTop 10 可以让企业了解到应用安全。开发人员可以从其他组织的错误中学习。执行人员能开始思考如何管理企业中软件应用程序产生的风险。相较之CWE与OWASP，CWE的Top 25的覆盖范围更广，包括著名的缓冲区溢出缺陷。CWE还为程序员提供了编写更安全的代码所需要的更详细的内容。OWASP更加关注的是web应用程序的安全风险，这些安全风险易被攻击者利用，使得攻击者方便地对web应用程序进行攻击。总之，两者区别在于，CWE更加站在程序员的角度，重点关注的是软件开发过程，即编程时的漏洞，这些漏洞最终会造成软件不安全，使得软件易被攻击。而OWASP更加站在攻击者的角度，思考当今攻击者针对web应用软件漏洞采取的最常用攻击方式，从而提高开发者对应用安全的关注度。两者关注的都是软件存在的风险，软件开发者都应该深入研究，了解软件存在的风险及其预防、矫正。二 总结CWE和OWASP的软件缺陷类别（重点归纳CWE-Top 25和OWASP-Top 10软件缺陷类别 ）1 CWE-Top 25这25个错误可以分成三种类型：组件之间不安全的交互（8个错误），高风险的资源管理（10个错误）以及渗透防御（porous defenses）（7个错误）。 组件之间不安全的交互，通常是开发团队非常庞大的直接结果。一个应用程序中的不同组件由不同的开发人员编写，在该应用程序完成和部署之前，他们通常很少交流。为了减少这种类型的错误，所有的代码都要用文档记录清楚，这样做至关重要。文档内容应该包括代码是干什么的、这些代码被调用时有哪些前提假设、为什么要用到这些假设、怎样使用这些假设等等。 通过确认和测试这些假设没有被违背，可以消除应用程序中的许多缺点。列出一个特殊组件参考的代码也很重要。这种交叉参考有助于确保部件的变化不会破坏其他地方的假设和逻辑，这样审查人员可以更容易看到或者理解哪些流程或者业务控制应该进行规避。为了确保此项文档和确认工作得到实施，应该把它作为设计和创建要求的组成部分。开发人员通常不会意识到他们在应用程序中添加的特殊特点和功能具有安全隐患。威胁建模是解决这个安全性与实用性问题的好方法。它不仅可以提高开发人员的安全意识，而且还使应用程序安全成为应用程序设计和开发过程的组成部分。这是缩小安全人员与开发人员之间专业知识差距的一个很好的办法。 渗透防御是项目管理拙劣或者项目资金不足的反应。如“敏感数据缺少加密”和“关键功能缺少身份认证”，许多开发人员没有掌握如何创建运行在恶劣互联网环境中的应用程序的方法。开发人员没有明白，他们不能依靠防火墙和负责应用程序安全的IDS（入侵检测系统），他们也需要对安全负责。 2 OWASP-Top 10从Top 10可以看出，OWASP 认为应用的安全风险与 威胁动因（Threat Agent）、攻击向量（Attack Vectors）、 安全脆弱性（Security Weakness）、安全控制（Security Controls）、技术影响（Technical Impacts）、商业影响（Business Impact） 这五项相关。其中，商业影响可以近似认为是与资产（Assets）相关，威胁动因可以近似认为是与威胁（Threat）相关。但是由于威胁动因和 商业影响都是与具体环境相关、而且难以量化，所以 OWASP 解释 “Whats My Risk?” 的时候这两部分都用问号代替。也就是说， OWASP 2010 中给出的量化评分是不包含与威胁相关的威胁动因以及与资产相关的商业影响。风险的公式是指Risk = f（Threat, Vulnerability, Assets）， 如果等式的右边去掉了 Threat 和 Assets则只有 Vulnerability。也就是说 OWASP 给出的量化指标仅仅是一个与 Vulnerability 相关的量化指标