कॉमन वीकनेस एन्यूमरेशन: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
Line 1: Line 1:
कॉमन वीकनेस एन्यूमरेशन (CWE) हार्डवेयर और सॉफ्टवेयर की कमजोरियों और कमजोरियों के लिए श्रेणी प्रणाली है। यह सॉफ्टवेयर और हार्डवेयर में खामियों को समझने और उन खामियों को पहचानने, ठीक करने और रोकने के लिए इस्तेमाल किए जा सकने वाले स्वचालित उपकरण बनाने के लक्ष्यों के साथ सामुदायिक परियोजना द्वारा कायम है।<ref>{{cite web |url=http://cwe.mitre.org/about/index.html |title=सीडब्ल्यूई - सीडब्ल्यूई के बारे में|publisher=at mitre.org}}</ref> यह परियोजना राष्ट्रीय साइबर सुरक्षा एफएफआरडीसी द्वारा प्रायोजित है, जो [[अमेरिका-CERT]] और यूएस डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी के [[राष्ट्रीय साइबर सुरक्षा प्रभाग]] के समर्थन से [[मेटर कॉर्पोरेशन]] द्वारा संचालित है।<ref>[https://nvd.nist.gov/vuln/categories National Vulnerabilities Database CWE Slice] at nist.gov</ref><ref>{{Cite journal |last=Goseva-Popstojanova |first=Katerina |last2=Perhinschi |first2=Andrei |date=2015 |title=सुरक्षा कमजोरियों का पता लगाने के लिए स्थिर कोड विश्लेषण की क्षमता पर|url=https://linkinghub.elsevier.com/retrieve/pii/S0950584915001366 |journal=Information and Software Technology |language=en |volume=68 |pages=18–33 |doi=10.1016/j.infsof.2015.08.002}}</ref>
'''कॉमन वीकनेस एन्यूमरेशन''' (सीडब्ल्यूई) हार्डवेयर और सॉफ्टवेयर की वीकनेस के लिए श्रेणी प्रणाली है। यह सॉफ्टवेयर और हार्डवेयर में दोष को समझने और उन दोष को पहचानने, ठीक करने और रोकने के लिए उपयोग किए जा सकने वाले स्वचालित उपकरण बनाने के लक्ष्यों के साथ सामुदायिक परियोजना द्वारा स्थिर है।<ref>{{cite web |url=http://cwe.mitre.org/about/index.html |title=सीडब्ल्यूई - सीडब्ल्यूई के बारे में|publisher=at mitre.org}}</ref> यह परियोजना राष्ट्रीय साइबर सुरक्षा एफएफआरडीसी द्वारा प्रायोजित है, जो [[अमेरिका-CERT|अमेरिका-]]सीईआरटी और यूएस डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी के [[राष्ट्रीय साइबर सुरक्षा प्रभाग]] के समर्थन से [[मेटर कॉर्पोरेशन]] द्वारा संचालित है।<ref>[https://nvd.nist.gov/vuln/categories National Vulnerabilities Database CWE Slice] at nist.gov</ref><ref>{{Cite journal |last=Goseva-Popstojanova |first=Katerina |last2=Perhinschi |first2=Andrei |date=2015 |title=सुरक्षा कमजोरियों का पता लगाने के लिए स्थिर कोड विश्लेषण की क्षमता पर|url=https://linkinghub.elsevier.com/retrieve/pii/S0950584915001366 |journal=Information and Software Technology |language=en |volume=68 |pages=18–33 |doi=10.1016/j.infsof.2015.08.002}}</ref>
CWE मानक का संस्करण 4.10 जुलाई 2021 में जारी किया गया था।<ref>
 
सीडब्ल्यूई मानक का संस्करण 4.10 जुलाई 2021 में जारी किया गया था।<ref>
{{cite web|url=https://cwe.mitre.org/news/index.html#january312023_CWE_Version_4.10_Now_Available|title=CWE Version 4.10 Now Available|publisher=The MITRE Corporation|access-date=9 March 2022}}
{{cite web|url=https://cwe.mitre.org/news/index.html#january312023_CWE_Version_4.10_Now_Available|title=CWE Version 4.10 Now Available|publisher=The MITRE Corporation|access-date=9 March 2022}}
</ref>
</ref> सीडब्ल्यूई में 600 से अधिक श्रेणियां हैं, जिनमें बफर ओवरफ्लो, पथ/निर्देशिका ट्री ट्रैवर्सल त्रुटियां, दौड़ की स्थिति, [[ क्रॉस साइट स्क्रिप्टिंग |क्रॉस साइट स्क्रिप्टिंग]] , हार्ड-कोडेड पासवर्ड और असुरक्षित रैंडम नंबर सम्मिलित हैं।<ref name="samate">[https://samate.nist.gov/BF/Enlightenment/CWE.html The Bugs Framework (BF) / Common Weakness Enumeration (CWE)] at nist.gov</ref>
CWE में 600 से अधिक श्रेणियां हैं, जिनमें बफर ओवरफ्लो, पथ/निर्देशिका ट्री ट्रैवर्सल त्रुटियां, दौड़ की स्थिति, [[ क्रॉस साइट स्क्रिप्टिंग |क्रॉस साइट स्क्रिप्टिंग]] , हार्ड-कोडेड पासवर्ड और असुरक्षित रैंडम नंबर शामिल हैं।<ref name=samate>[https://samate.nist.gov/BF/Enlightenment/CWE.html The Bugs Framework (BF) / Common Weakness Enumeration (CWE)] at nist.gov</ref>


'''<br />सामान्य कमजोरी गणना (सीडब्ल्यूई) संगतता कार्यक्रम सेवा या उत्पाद की समीक्षा करने और आधिकारिक तौर पर सीडब्ल्यूई-संगत और सीडब्ल्यूई-प्रभावी के रूप में पंजीकृत होने की अनुमति देता है। कार्यक्रम संगठनों को'''
'''<br />कॉमन वीकनेस एन्यूमरेशन (सीडब्ल्यूई) संगतता प्रोग्राम सेवा या उत्पाद की समीक्षा करने और आधिकारिक तौर पर सीडब्ल्यूई-संगत और सीडब्ल्यूई-प्रभावी के रूप में पंजीकृत होने की अनुमति देता है। प्रोग्राम संगठनों को'''
== उदाहरण ==
== उदाहरण ==
* CWE श्रेणी 121 स्टैक-आधारित बफर ओवरफ्लो के लिए है।<ref>[http://cwe.mitre.org/data/definitions/121.html CWE-121: Stack-based Buffer Overflows]</ref>
* सीडब्ल्यूई श्रेणी 121 स्टैक-आधारित बफर ओवरफ्लो के लिए है।<ref>[http://cwe.mitre.org/data/definitions/121.html CWE-121: Stack-based Buffer Overflows]</ref>




== सीडब्ल्यूई संगतता ==
== सीडब्ल्यूई संगतता ==
सामान्य कमजोरी गणना (सीडब्ल्यूई) संगतता कार्यक्रम सेवा या उत्पाद की समीक्षा करने और आधिकारिक तौर पर सीडब्ल्यूई-संगत और सीडब्ल्यूई-प्रभावी के रूप में पंजीकृत होने की अनुमति देता है। कार्यक्रम संगठनों को सही सॉफ्टवेयर उपकरण चुनने और संभावित कमजोरियों और उनके संभावित प्रभाव के बारे में सीखने में सहायता करता है।
कॉमन वीकनेस एन्यूमरेशन (सीडब्ल्यूई) संगतता प्रोग्राम सेवा या उत्पाद की समीक्षा करने और आधिकारिक तौर पर सीडब्ल्यूई-संगत और सीडब्ल्यूई-प्रभावी के रूप में पंजीकृत होने की अनुमति देता है। प्रोग्राम संगठनों को सही सॉफ्टवेयर उपकरण चुनने और संभावित वीकनेस और उनके संभावित प्रभाव के बारे में सीखने में सहायता करता है।


CWE संगत स्थिति प्राप्त करने के लिए किसी उत्पाद या सेवा को 6 में से 4 आवश्यकताओं को पूरा करना होगा, जो नीचे दिखाया गया है:
सीडब्ल्यूई संगत स्थिति प्राप्त करने के लिए किसी उत्पाद या सेवा को 6 में से 4 आवश्यकताओं को पूरा करना होगा, जो नीचे दिखाया गया है:


{| class="wikitable"
{| class="wikitable"
|-
|-
| '''CWE Searchable'''
| '''सीडब्ल्यूई खोजने योग्य'''
| users may search security elements using CWE identifiers
| उपयोगकर्ता सीडब्ल्यूआई पहचानकर्ताओं का उपयोग करके सुरक्षा तत्वों को खोज सकते हैं
|-
|-
| '''CWE Output'''
| '''सीडब्ल्यूई आउटपुट'''
| security elements presented to users include, or allow users to obtain, associated CWE identifiers
| उपयोगकर्ताओं को प्रस्तुत किए गए सुरक्षा तत्वों में संबंधित सीडब्ल्यूआई पहचानकर्ता सम्मिलित हैं, या उपयोगकर्ताओं को प्राप्त करने की अनुमति देते हैं
|-
|-
| '''Mapping Accuracy'''
| '''मानचित्रण स्पष्टता'''
| security elements accurately link to the appropriate CWE identifiers
| सुरक्षा तत्व उचित सीडब्ल्यूई पहचानकर्ताओं से स्पष्ट रूप से लिंक होते हैं
|-
|-
| '''CWE Documentation'''
| '''सीडब्ल्यूई दस्तावेज़ीकरण'''
| capability's documentation describes CWE, CWE compatibility, and how CWE-related functionality in the capability is used
| क्षमता के दस्तावेज़ीकरण में सीडब्ल्यूई, सीडब्ल्यूई संगतता और क्षमता में सीडब्ल्यूई-संबंधित कार्यक्षमता का उपयोग कैसे किया जाता है, इसका वर्णन किया गया है
|-
|-
| '''CWE Coverage'''
| '''सीडब्ल्यूई कवरेज'''
| for CWE-Compatibility and CWE-Effectiveness, the capability's documentation explicitly lists the CWE-IDs that the capability claims coverage and effectiveness against locating in software
| सीडब्ल्यूई-संगतता और सीडब्ल्यूई-प्रभावकारिता के लिए, क्षमता के दस्तावेज स्पष्ट रूप से सीडब्ल्यूई-आईडी को सूचीबद्ध करते हैं जो क्षमता सॉफ़्टवेयर में पता लगाने के विरुद्ध कवरेज और प्रभावशीलता का प्रमाणित करती है।
|-
|-
| '''CWE Test Results'''
| '''सीडब्ल्यूई परीक्षा के परिणाम'''
| for CWE-Effectiveness, test results from the capability showing the results of assessing software for the CWEs are posted on the CWE Web site
| सीडब्ल्यूई-प्रभावकारिता के लिए, सीडब्ल्यूई के लिए सॉफ्टवेयर का आकलन करने के परिणाम दिखाने वाली क्षमता से परीक्षण के परिणाम सीडब्ल्यूई वेब साइट पर पोस्ट किए जाते हैं।
|}
|}
सितंबर 2019 तक 56 संगठन हैं जो CWE संगत स्थिति प्राप्त करने वाले उत्पादों और सेवाओं का विकास और रखरखाव करते हैं।<ref>{{cite web |url=https://cwe.mitre.org/compatible/compatible.html |title=CWE - CWE-संगत उत्पाद और सेवाएँ|publisher=at mitre.org}}</ref>
सितंबर 2019 तक 56 संगठन हैं जो सीडब्ल्यूई संगत स्थिति प्राप्त करने वाले उत्पादों और सेवाओं का विकास और रखरखाव करते हैं।<ref>{{cite web |url=https://cwe.mitre.org/compatible/compatible.html |title=CWE - CWE-संगत उत्पाद और सेवाएँ|publisher=at mitre.org}}</ref>




== अनुसंधान, समालोचना और नए विकास ==
== अनुसंधान, समालोचना और नए विकास ==
कुछ शोधकर्ता सोचते हैं कि CWE में अस्पष्टताओं से बचा जा सकता है या उन्हें कम किया जा सकता है।<ref>Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. [https://www.nist.gov/publications/towards-147periodic-table148-bugs Towards a “Periodic Table” of Bugs]</ref>
कुछ शोधकर्ता सोचते हैं कि सीडब्ल्यूई में अस्पष्टताओं से बचा जा सकता है या उन्हें कम किया जा सकता है।<ref>Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. [https://www.nist.gov/publications/towards-147periodic-table148-bugs Towards a “Periodic Table” of Bugs]</ref>




== यह भी देखें ==
== यह भी देखें ==
*सामान्य भेद्यताएं और जोखिम (सीवीई)
*सामान्य भेद्यताएं और कठिन परिस्थिति (सीवीई)
*[[सामान्य भेद्यता स्कोरिंग सिस्टम]] (सीवीएसएस)
*[[सामान्य भेद्यता स्कोरिंग सिस्टम]] (सीवीएसएस)
* [[राष्ट्रीय भेद्यता डेटाबेस]]
* [[राष्ट्रीय भेद्यता डेटाबेस]]
Line 52: Line 52:


==बाहरी संबंध==
==बाहरी संबंध==
* [http://www.omg.org/news/meetings/workshops/SWA_2007_Presentations/02-1_Martin_revised.pdf Certifying Applications for Known Security Weaknesses. The Common Weakness Enumeration (CWE) Effort] // 6 March 2007
* [http://www.omg.org/news/meetings/workshops/SWA_2007_Presentations/02-1_Martin_revised.pdf Certifying Applications for Known Security Weaknesses. The Common Weakness Enumeration (सीडब्ल्यूई) Effort] // 6 March 2007
* {{cite web |url=http://homes.cerias.purdue.edu/~pmeunier/aboutme/classes_vulnerabilities.pdf |title=Classes of Vulnerabilities and Attacks |work=Wiley Handbook of Science and Technology for Homeland Security |others=comparison of different vulnerability Classifications |archive-url=https://web.archive.org/web/20160322061614/http://homes.cerias.purdue.edu/~pmeunier/aboutme/classes_vulnerabilities.pdf |archive-date=2016-03-22 |url-status=dead }}
* {{cite web |url=http://homes.cerias.purdue.edu/~pmeunier/aboutme/classes_vulnerabilities.pdf |title=Classes of Vulnerabilities and Attacks |work=Wiley Handbook of Science and Technology for Homeland Security |others=comparison of different vulnerability Classifications |archive-url=https://web.archive.org/web/20160322061614/http://homes.cerias.purdue.edu/~pmeunier/aboutme/classes_vulnerabilities.pdf |archive-date=2016-03-22 |url-status=dead }}
[[Category: सॉफ्टवेयर विसंगतियाँ]] [[Category: कंप्यूटर मानक]] [[Category: कंप्यूटर नेटवर्क सुरक्षा]] [[Category: वेब सुरक्षा शोषण]] [[Category: कंप्यूटर सुरक्षा संगठन]] [[Category: वर्गीकरण प्रणाली]]  
[[Category: सॉफ्टवेयर विसंगतियाँ]] [[Category: कंप्यूटर मानक]] [[Category: कंप्यूटर नेटवर्क सुरक्षा]] [[Category: वेब सुरक्षा शोषण]] [[Category: कंप्यूटर सुरक्षा संगठन]] [[Category: वर्गीकरण प्रणाली]]  

Revision as of 09:23, 24 June 2023

कॉमन वीकनेस एन्यूमरेशन (सीडब्ल्यूई) हार्डवेयर और सॉफ्टवेयर की वीकनेस के लिए श्रेणी प्रणाली है। यह सॉफ्टवेयर और हार्डवेयर में दोष को समझने और उन दोष को पहचानने, ठीक करने और रोकने के लिए उपयोग किए जा सकने वाले स्वचालित उपकरण बनाने के लक्ष्यों के साथ सामुदायिक परियोजना द्वारा स्थिर है।[1] यह परियोजना राष्ट्रीय साइबर सुरक्षा एफएफआरडीसी द्वारा प्रायोजित है, जो अमेरिका-सीईआरटी और यूएस डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी के राष्ट्रीय साइबर सुरक्षा प्रभाग के समर्थन से मेटर कॉर्पोरेशन द्वारा संचालित है।[2][3]

सीडब्ल्यूई मानक का संस्करण 4.10 जुलाई 2021 में जारी किया गया था।[4] सीडब्ल्यूई में 600 से अधिक श्रेणियां हैं, जिनमें बफर ओवरफ्लो, पथ/निर्देशिका ट्री ट्रैवर्सल त्रुटियां, दौड़ की स्थिति, क्रॉस साइट स्क्रिप्टिंग , हार्ड-कोडेड पासवर्ड और असुरक्षित रैंडम नंबर सम्मिलित हैं।[5]


कॉमन वीकनेस एन्यूमरेशन (सीडब्ल्यूई) संगतता प्रोग्राम सेवा या उत्पाद की समीक्षा करने और आधिकारिक तौर पर सीडब्ल्यूई-संगत और सीडब्ल्यूई-प्रभावी के रूप में पंजीकृत होने की अनुमति देता है। प्रोग्राम संगठनों को

उदाहरण

  • सीडब्ल्यूई श्रेणी 121 स्टैक-आधारित बफर ओवरफ्लो के लिए है।[6]


सीडब्ल्यूई संगतता

कॉमन वीकनेस एन्यूमरेशन (सीडब्ल्यूई) संगतता प्रोग्राम सेवा या उत्पाद की समीक्षा करने और आधिकारिक तौर पर सीडब्ल्यूई-संगत और सीडब्ल्यूई-प्रभावी के रूप में पंजीकृत होने की अनुमति देता है। प्रोग्राम संगठनों को सही सॉफ्टवेयर उपकरण चुनने और संभावित वीकनेस और उनके संभावित प्रभाव के बारे में सीखने में सहायता करता है।

सीडब्ल्यूई संगत स्थिति प्राप्त करने के लिए किसी उत्पाद या सेवा को 6 में से 4 आवश्यकताओं को पूरा करना होगा, जो नीचे दिखाया गया है:

सीडब्ल्यूई खोजने योग्य उपयोगकर्ता सीडब्ल्यूआई पहचानकर्ताओं का उपयोग करके सुरक्षा तत्वों को खोज सकते हैं
सीडब्ल्यूई आउटपुट उपयोगकर्ताओं को प्रस्तुत किए गए सुरक्षा तत्वों में संबंधित सीडब्ल्यूआई पहचानकर्ता सम्मिलित हैं, या उपयोगकर्ताओं को प्राप्त करने की अनुमति देते हैं
मानचित्रण स्पष्टता सुरक्षा तत्व उचित सीडब्ल्यूई पहचानकर्ताओं से स्पष्ट रूप से लिंक होते हैं
सीडब्ल्यूई दस्तावेज़ीकरण क्षमता के दस्तावेज़ीकरण में सीडब्ल्यूई, सीडब्ल्यूई संगतता और क्षमता में सीडब्ल्यूई-संबंधित कार्यक्षमता का उपयोग कैसे किया जाता है, इसका वर्णन किया गया है
सीडब्ल्यूई कवरेज सीडब्ल्यूई-संगतता और सीडब्ल्यूई-प्रभावकारिता के लिए, क्षमता के दस्तावेज स्पष्ट रूप से सीडब्ल्यूई-आईडी को सूचीबद्ध करते हैं जो क्षमता सॉफ़्टवेयर में पता लगाने के विरुद्ध कवरेज और प्रभावशीलता का प्रमाणित करती है।
सीडब्ल्यूई परीक्षा के परिणाम सीडब्ल्यूई-प्रभावकारिता के लिए, सीडब्ल्यूई के लिए सॉफ्टवेयर का आकलन करने के परिणाम दिखाने वाली क्षमता से परीक्षण के परिणाम सीडब्ल्यूई वेब साइट पर पोस्ट किए जाते हैं।

सितंबर 2019 तक 56 संगठन हैं जो सीडब्ल्यूई संगत स्थिति प्राप्त करने वाले उत्पादों और सेवाओं का विकास और रखरखाव करते हैं।[7]


अनुसंधान, समालोचना और नए विकास

कुछ शोधकर्ता सोचते हैं कि सीडब्ल्यूई में अस्पष्टताओं से बचा जा सकता है या उन्हें कम किया जा सकता है।[8]


यह भी देखें

संदर्भ

  1. "सीडब्ल्यूई - सीडब्ल्यूई के बारे में". at mitre.org.
  2. National Vulnerabilities Database CWE Slice at nist.gov
  3. Goseva-Popstojanova, Katerina; Perhinschi, Andrei (2015). "सुरक्षा कमजोरियों का पता लगाने के लिए स्थिर कोड विश्लेषण की क्षमता पर". Information and Software Technology (in English). 68: 18–33. doi:10.1016/j.infsof.2015.08.002.
  4. "CWE Version 4.10 Now Available". The MITRE Corporation. Retrieved 9 March 2022.
  5. The Bugs Framework (BF) / Common Weakness Enumeration (CWE) at nist.gov
  6. CWE-121: Stack-based Buffer Overflows
  7. "CWE - CWE-संगत उत्पाद और सेवाएँ". at mitre.org.
  8. Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. Towards a “Periodic Table” of Bugs


बाहरी संबंध