CWE List升级至4.0版本

MITRE 2月24日宣布CWE List升级至4.0版本。根据MITRE发布的信息，CWE List 4.0版本将安全缺陷的范围从软件扩展到包括硬件，也就是说，新版本不仅包含软件缺陷，也包含硬件缺陷。

CWEList 4.0版本纳入硬件缺陷其实MITRE早有预告。MITRE在2019年10月就表示已开始探索将硬件漏洞纳入CWE库。2020年1月，MITRE预告4.0版本将合并架构（Architecture）和开发（Development）视图，和添加一个以硬件设计为重点的新视图。

 4.0版本和3.4.1版本的差别

整体来看，4.0版本和3.4.1版本的条目类型对比如下表N。

表1 CWE List 4.0版本和3.4.1版本的条目类型对比

从上表可看出，CWE List 4.0版本包含839个缺陷，共计1251个条目。新版本的变化如表2。

表2 CWE List 4.0版本变化

如“CWE List升级至4.0版本”一节末尾所述，CWE List 4.0版本最重大的变化在于整合架构和开发视图，将这两个视图重构成一个新视图——软件开发（Software Development），和新添硬件设计（Hardware Design）视图。CWE List 4.0版本保留了研究概念（Research Concepts）视图。

 CWE List4.0版本NavigateCWE视图

在整合原有的架构和开发视图，并增加硬件设计视图后，CWE List 4.0版本Navigate CWE视图现包含三个视图——软件开发、硬件设计和研究概念。

图1 Navigate CWE视图

软件开发视图共有39个类目，417个缺陷条目。该视图中的缺陷是在软件开发过程中经常使用或遇到的类型，如API/函数错误、输入验证问题、指针问题等。该视图涵盖了软件架构和实现等软件开发生命周期中的所有方面。

图2 软件开发视图

硬件设计视图共有12个类目，31个缺陷条目。该视图围绕硬件设计中经常使用或遇到的概念展示缺陷类型，如制造和生命周期管理问题，或权限分离和访问控制问题等。

图3 硬件设计视图

新版本的研究概念视图共有10个主题（Pillar），839个缺陷类型。该视图旨在促进对缺陷的研究，包括它们之间的相互依赖关系。这种分类方法不关心缺陷的检测方法，缺陷在代码中的位置，在开发生命周期中何时引入缺陷。该视图主要基于对行为进行抽象描述的方法组织归类。

注：Pillar原意为台柱等。此处取官网对Pillar在树状图中的释义，做“主题”解释。

图4 研究概念视图

新版研究概念视图在其树状体系中引入了一个新的缺陷条目概念主题（Pillar） 。根据官网的信息，主题（Pillar）和类目（Category）都位于缺陷树状图的最高层级，但是两者之间存在一定的区别。理论上来说，类目并不是缺陷，而是特殊的CWE条目，用于组织具有共同特征的缺陷。主题（Pillar）是缺陷，且是最为抽象的缺陷类型，代表与其相关的所有类别（class）/基础缺陷（base）/变体缺陷（variant）的主题。典型的主题（Pillar）层级结构如图5。

图5 主题（Pillar）层级结构示例

 CWE List各版本Navigate CWE视图演进

从2008年CWE List 1.0版本正式发布以来，Navigate CWE不断演进，从最初仅有研究概念视图，发展到4.0版本涵盖软件开发、硬件设计和研究概念视图。

CWE List Navigate CWE视图演进表

 CWE是由美国国土安全部下属网络安全和基础设施安全局（CISA）资助的软件安全战略性项目。随着业内技术的不断发展，CWE纳入新的缺陷类型，废弃旧的类型，与时俱进，让缺陷类型内容更丰富，符合企业和组织的安全需求。群智平台会持续跟进CWE的动态，及时与业内人士共享信息。