CWE List 4.0版本发布 首次推出硬件设计漏洞类型
字数 1816 2025-08-15 21:30:19

CWE List 4.0版本教学文档

1. CWE List 4.0版本概述

CWE (Common Weakness Enumeration) List 4.0版本由MITRE于2020年2月24日发布,这是CWE发展历程中的一个重要里程碑,首次将安全缺陷的范围从软件扩展到硬件领域。

1.1 版本演进背景

  • 2019年10月:MITRE开始探索将硬件漏洞纳入CWE库
  • 2020年1月:预告4.0版本将合并架构和开发视图,并新增硬件设计视图
  • 2020年2月:正式发布CWE List 4.0版本

1.2 版本核心变化

  • 新增硬件设计视图
  • 合并原有的架构(Architecture)和开发(Development)视图为"软件开发(Software Development)"视图
  • 保留研究概念(Research Concepts)视图

2. CWE List 4.0版本详细内容

2.1 条目类型对比

类型 3.4.1版本 4.0版本 变化
缺陷(Weakness) 808 839 +31
类目(Category) 295 312 +17
视图(View) 38 39 +1
过时(Deprecated) 48 61 +13
共计 1189 1251 +62

2.2 版本变化统计

变化类型 数量
新增视图 2
新增条目 63
过时的条目 13
有大修改的条目 883
未修改的条目 293

3. Navigate CWE视图结构

CWE List 4.0版本的Navigate CWE视图包含三个主要视图:

3.1 软件开发视图(Software Development)

  • 类目数量:39个
  • 缺陷条目:417个
  • 覆盖范围:软件开发生命周期中的所有方面
  • 包含缺陷类型示例:
    • API/函数错误
    • 输入验证问题
    • 指针问题
    • 软件架构和实现相关问题

3.2 硬件设计视图(Hardware Design)

  • 类目数量:12个
  • 缺陷条目:31个
  • 覆盖范围:硬件设计相关概念
  • 包含缺陷类型示例:
    • 制造和生命周期管理问题
    • 权限分离问题
    • 访问控制问题

3.3 研究概念视图(Research Concepts)

  • 主题(Pillar)数量:10个
  • 缺陷类型:839个
  • 特点:
    • 促进对缺陷的研究和相互依赖关系的理解
    • 不关心缺陷的检测方法或代码位置
    • 基于行为抽象描述方法组织归类

3.3.1 主题(Pillar)概念

  • 位于缺陷树状图的最高层级
  • 代表与其相关的所有类别(class)/基础缺陷(base)/变体缺陷(variant)的主题
  • 与类目(Category)的区别:
    • 类目不是缺陷,而是用于组织具有共同特征的缺陷的特殊条目
    • 主题是缺陷,且是最抽象的缺陷类型

3.3.2 主题层级结构示例

主题(Pillar)
├─ 类别(Class)
│  ├─ 基础缺陷(Base)
│  │  ├─ 变体缺陷(Variant)
│  │  └─ ...
│  └─ ...
└─ ...

4. CWE List版本演进历史

发布时间 版本 视图变化
2008.09 v1.0 研究概念视图
2011.06 v2.0 研究概念视图
2017.11 v3.0 开发概念视图、架构概念视图、研究概念视图
2020.02 v4.0 软件开发视图、硬件设计视图、研究概念视图

5. 教学要点总结

  1. 硬件安全纳入:CWE List 4.0首次将硬件设计缺陷纳入安全缺陷分类体系,反映了安全领域向硬件层面的扩展。

  2. 视图重构

    • 合并原有的架构和开发视图为"软件开发"视图
    • 新增"硬件设计"视图
    • 保留"研究概念"视图但引入新的"主题(Pillar)"概念

  3. 条目增长

    • 总条目从1189增加到1251
    • 新增63个条目,过时13个条目
    • 883个条目有重大修改

  4. 应用价值

    • 为软件和硬件安全评估提供更全面的参考框架
    • 促进安全研究,特别是硬件安全领域的研究
    • 帮助组织更全面地识别和防范安全风险

  5. 未来展望

    • 随着物联网和硬件安全重要性的提升,硬件设计视图可能会进一步扩展
    • 研究概念视图中的"主题"概念可能影响未来CWE的分类方式
CWE List 4.0版本教学文档 1. CWE List 4.0版本概述 CWE (Common Weakness Enumeration) List 4.0版本由MITRE于2020年2月24日发布,这是CWE发展历程中的一个重要里程碑,首次将安全缺陷的范围从软件扩展到硬件领域。 1.1 版本演进背景 2019年10月:MITRE开始探索将硬件漏洞纳入CWE库 2020年1月:预告4.0版本将合并架构和开发视图,并新增硬件设计视图 2020年2月:正式发布CWE List 4.0版本 1.2 版本核心变化 新增硬件设计视图 合并原有的架构(Architecture)和开发(Development)视图为"软件开发(Software Development)"视图 保留研究概念(Research Concepts)视图 2. CWE List 4.0版本详细内容 2.1 条目类型对比 | 类型 | 3.4.1版本 | 4.0版本 | 变化 | |------|----------|--------|------| | 缺陷(Weakness) | 808 | 839 | +31 | | 类目(Category) | 295 | 312 | +17 | | 视图(View) | 38 | 39 | +1 | | 过时(Deprecated) | 48 | 61 | +13 | | 共计 | 1189 | 1251 | +62 | 2.2 版本变化统计 | 变化类型 | 数量 | |---------|------| | 新增视图 | 2 | | 新增条目 | 63 | | 过时的条目 | 13 | | 有大修改的条目 | 883 | | 未修改的条目 | 293 | 3. Navigate CWE视图结构 CWE List 4.0版本的Navigate CWE视图包含三个主要视图: 3.1 软件开发视图(Software Development) 类目数量:39个 缺陷条目:417个 覆盖范围:软件开发生命周期中的所有方面 包含缺陷类型示例: API/函数错误 输入验证问题 指针问题 软件架构和实现相关问题 3.2 硬件设计视图(Hardware Design) 类目数量:12个 缺陷条目:31个 覆盖范围:硬件设计相关概念 包含缺陷类型示例: 制造和生命周期管理问题 权限分离问题 访问控制问题 3.3 研究概念视图(Research Concepts) 主题(Pillar)数量:10个 缺陷类型:839个 特点: 促进对缺陷的研究和相互依赖关系的理解 不关心缺陷的检测方法或代码位置 基于行为抽象描述方法组织归类 3.3.1 主题(Pillar)概念 位于缺陷树状图的最高层级 代表与其相关的所有类别(class)/基础缺陷(base)/变体缺陷(variant)的主题 与类目(Category)的区别: 类目不是缺陷,而是用于组织具有共同特征的缺陷的特殊条目 主题是缺陷,且是最抽象的缺陷类型 3.3.2 主题层级结构示例 4. CWE List版本演进历史 | 发布时间 | 版本 | 视图变化 | |---------|------|----------| | 2008.09 | v1.0 | 研究概念视图 | | 2011.06 | v2.0 | 研究概念视图 | | 2017.11 | v3.0 | 开发概念视图、架构概念视图、研究概念视图 | | 2020.02 | v4.0 | 软件开发视图、硬件设计视图、研究概念视图 | 5. 教学要点总结 硬件安全纳入 :CWE List 4.0首次将硬件设计缺陷纳入安全缺陷分类体系,反映了安全领域向硬件层面的扩展。 视图重构 : 合并原有的架构和开发视图为"软件开发"视图 新增"硬件设计"视图 保留"研究概念"视图但引入新的"主题(Pillar)"概念 条目增长 : 总条目从1189增加到1251 新增63个条目,过时13个条目 883个条目有重大修改 应用价值 : 为软件和硬件安全评估提供更全面的参考框架 促进安全研究,特别是硬件安全领域的研究 帮助组织更全面地识别和防范安全风险 未来展望 : 随着物联网和硬件安全重要性的提升,硬件设计视图可能会进一步扩展 研究概念视图中的"主题"概念可能影响未来CWE的分类方式