* CVE (Common Vulnerabilities and Exposures) v.s. CWE (Common Weakness Enumeration)
검색해봐도 잘 안 나와서 정리..
일단,
CVE의 V 는 취약점(Vulnerabilities) 를 의미하며, CVE는 취약점 리스트이다.
CWE의 W 는 보안약점(weakness) 를 의미하며, CWE는 보안약점 리스트이다.
그럼 취약점이랑 보안약점이랑 무엇이 다르냐? mitre 홈페이지에 있는 문장을 직역하면 아래와 같음
* 취약점 (vulnerabilities) v.s. 보안약점 (weakness)
- 보안약점 : 소프트웨어 취약점(vulnerabilities)으로 이어질 수 있는 오류 (error) 입니다.
- 취약점 : 해커가 시스템이나 네트워크에 액세스하기 위해 직접 사용할 수 있는 소프트웨어의 실수 (mistake) 입니다.
의역을 더하면,
보안약점이 더 넓은 개념이다. 보안약점 중 익스플로잇(exploit) 해서 공격자가 악용할 수 있으면 취약점이 될 수 있다. 하지만 보안약점이라도 공격자가 익스플로잇 할 수 없으면 취약점이 아니다.
* 이해를 돕기 위해, CWE 가 생기게 된 배경에 대해 말씀드리면,
MITRE의 CVE 팀은 일반적인 소프트웨어 취약점(vulnerabilities) 을 정의하기 위해 2005 년부터 취약점, 공격, 결함 및 기타 개념을 사전 분류 및 범주로 분류했습니다. 그러나 코드 보안 평가 업계의 오퍼링에서 제공되는 기능을 식별하고 분류하는데는 너무 러프했음.. 취약점 뿐 만 아니라 보안약점(weakness) 와 같이 더 상세한 분류가 필요
* 한 가지 쉽게 구분할 수 있는 팁은,
CVE는 CVE-2019-XXXX 와 같은 형식을 가진다. 즉, 연도가 들어간다.
CW는 CWE-YYY 와 같은 형식을 가진다.
https://cwe.mitre.org/index.html
CWE - Common Weakness Enumeration
CWE™ is a community-developed list of common software security weaknesses. It serves as a common language, a measuring stick for software security tools, and as a baseline for weakness identification, mitigation, and prevention efforts. View the List of Weaknesses by Research Concepts by Development...
cwe.mitre.org
https://cwe.mitre.org/index.html
CWE - Common Weakness Enumeration
CWE™ is a community-developed list of common software security weaknesses. It serves as a common language, a measuring stick for software security tools, and as a baseline for weakness identification, mitigation, and prevention efforts. View the List of Weaknesses by Research Concepts by Development...
cwe.mitre.org
'Cybersecurity' 카테고리의 다른 글
| 위험, 위협, 취약점 (0) | 2021.04.25 |
|---|---|
| [CVSS] CVSS v3.1 Calculator(계산기)출처: https://info-lab.tistory.com/278 [:: IT School ::] (0) | 2021.03.03 |
| What do SAST, DAST, IAST and RASP Mean to Developers? (0) | 2020.09.04 |
| RSA 인증서 (Certification) 와 전자서명 (Digital Sign)의 원리 (0) | 2019.07.15 |
| 내부 전파(Lateral Movement)와 이벤트 로그 1편 (0) | 2019.06.24 |
