कॉमन वीकनेस एन्यूमरेशन: Difference between revisions
From Vigyanwiki
No edit summary |
No edit summary |
||
| Line 5: | Line 5: | ||
</ref> सीडब्ल्यूई में 600 से अधिक श्रेणियां हैं, जिनमें बफर ओवरफ्लो, पथ/निर्देशिका ट्री ट्रैवर्सल त्रुटियां, दौड़ की स्थिति, [[ क्रॉस साइट स्क्रिप्टिंग |क्रॉस साइट स्क्रिप्टिंग]] , हार्ड-कोडेड पासवर्ड और असुरक्षित रैंडम नंबर सम्मिलित हैं।<ref name="samate">[https://samate.nist.gov/BF/Enlightenment/CWE.html The Bugs Framework (BF) / Common Weakness Enumeration (CWE)] at nist.gov</ref> | </ref> सीडब्ल्यूई में 600 से अधिक श्रेणियां हैं, जिनमें बफर ओवरफ्लो, पथ/निर्देशिका ट्री ट्रैवर्सल त्रुटियां, दौड़ की स्थिति, [[ क्रॉस साइट स्क्रिप्टिंग |क्रॉस साइट स्क्रिप्टिंग]] , हार्ड-कोडेड पासवर्ड और असुरक्षित रैंडम नंबर सम्मिलित हैं।<ref name="samate">[https://samate.nist.gov/BF/Enlightenment/CWE.html The Bugs Framework (BF) / Common Weakness Enumeration (CWE)] at nist.gov</ref> | ||
'''<br />कॉमन वीकनेस एन्यूमरेशन (सीडब्ल्यूई) संगतता प्रोग्राम सेवा या उत्पाद की समीक्षा करने और आधिकारिक तौर पर | '''<br />कॉमन वीकनेस एन्यूमरेशन (सीडब्ल्यूई) संगतता प्रोग्राम सेवा या उत्पाद की समीक्षा करने और आधिकारिक तौर पर''' | ||
== उदाहरण == | == उदाहरण == | ||
* सीडब्ल्यूई श्रेणी 121 स्टैक-आधारित बफर ओवरफ्लो के लिए है।<ref>[http://cwe.mitre.org/data/definitions/121.html CWE-121: Stack-based Buffer Overflows]</ref> | * सीडब्ल्यूई श्रेणी 121 स्टैक-आधारित बफर ओवरफ्लो के लिए है।<ref>[http://cwe.mitre.org/data/definitions/121.html CWE-121: Stack-based Buffer Overflows]</ref> | ||
== सीडब्ल्यूई संगतता == | == सीडब्ल्यूई संगतता == | ||
कॉमन वीकनेस एन्यूमरेशन (सीडब्ल्यूई) संगतता प्रोग्राम सेवा या उत्पाद की समीक्षा करने और आधिकारिक तौर पर सीडब्ल्यूई-संगत और सीडब्ल्यूई-प्रभावी के रूप में पंजीकृत होने की अनुमति देता है। प्रोग्राम संगठनों को सही सॉफ्टवेयर उपकरण चुनने और संभावित वीकनेस और उनके संभावित प्रभाव के बारे में सीखने में सहायता करता है। | कॉमन वीकनेस एन्यूमरेशन (सीडब्ल्यूई) संगतता प्रोग्राम सेवा या उत्पाद की समीक्षा करने और आधिकारिक तौर पर सीडब्ल्यूई-संगत और सीडब्ल्यूई-प्रभावी के रूप में पंजीकृत होने की अनुमति देता है। प्रोग्राम संगठनों को सही सॉफ्टवेयर उपकरण चुनने और संभावित वीकनेस और उनके संभावित प्रभाव के बारे में सीखने में सहायता करता है। | ||
| Line 36: | Line 34: | ||
|} | |} | ||
सितंबर 2019 तक 56 संगठन हैं जो सीडब्ल्यूई संगत स्थिति प्राप्त करने वाले उत्पादों और सेवाओं का विकास और रखरखाव करते हैं।<ref>{{cite web |url=https://cwe.mitre.org/compatible/compatible.html |title=CWE - CWE-संगत उत्पाद और सेवाएँ|publisher=at mitre.org}}</ref> | सितंबर 2019 तक 56 संगठन हैं जो सीडब्ल्यूई संगत स्थिति प्राप्त करने वाले उत्पादों और सेवाओं का विकास और रखरखाव करते हैं।<ref>{{cite web |url=https://cwe.mitre.org/compatible/compatible.html |title=CWE - CWE-संगत उत्पाद और सेवाएँ|publisher=at mitre.org}}</ref> | ||
== अनुसंधान, समालोचना और नए विकास == | == अनुसंधान, समालोचना और नए विकास == | ||
कुछ शोधकर्ता सोचते हैं कि सीडब्ल्यूई में अस्पष्टताओं से बचा जा सकता है या उन्हें कम किया जा सकता है।<ref>Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. [https://www.nist.gov/publications/towards-147periodic-table148-bugs Towards a “Periodic Table” of Bugs]</ref> | कुछ शोधकर्ता सोचते हैं कि सीडब्ल्यूई में अस्पष्टताओं से बचा जा सकता है या उन्हें कम किया जा सकता है।<ref>Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. [https://www.nist.gov/publications/towards-147periodic-table148-bugs Towards a “Periodic Table” of Bugs]</ref> | ||
== यह भी देखें == | == यह भी देखें == | ||
*सामान्य भेद्यताएं और कठिन परिस्थिति (सीवीई) | *सामान्य भेद्यताएं और कठिन परिस्थिति (सीवीई) | ||
*[[सामान्य भेद्यता स्कोरिंग सिस्टम]] (सीवीएसएस) | *[[सामान्य भेद्यता स्कोरिंग सिस्टम|सामान्य भेद्यता स्कोरिंग प्रणाली]] (सीवीएसएस) | ||
* [[राष्ट्रीय भेद्यता डेटाबेस]] | * [[राष्ट्रीय भेद्यता डेटाबेस]] | ||
== संदर्भ== | == संदर्भ== | ||
{{reflist}} | {{reflist}} | ||
==बाहरी संबंध== | ==बाहरी संबंध== | ||
* [http://www.omg.org/news/meetings/workshops/SWA_2007_Presentations/02-1_Martin_revised.pdf Certifying Applications for Known Security Weaknesses. The Common Weakness Enumeration (सीडब्ल्यूई) Effort] // 6 March 2007 | * [http://www.omg.org/news/meetings/workshops/SWA_2007_Presentations/02-1_Martin_revised.pdf Certifying Applications for Known Security Weaknesses. The Common Weakness Enumeration (सीडब्ल्यूई) Effort] // 6 March 2007 | ||
Revision as of 09:25, 24 June 2023
कॉमन वीकनेस एन्यूमरेशन (सीडब्ल्यूई) हार्डवेयर और सॉफ्टवेयर की वीकनेस के लिए श्रेणी प्रणाली है। यह सॉफ्टवेयर और हार्डवेयर में दोष को समझने और उन दोष को पहचानने, ठीक करने और रोकने के लिए उपयोग किए जा सकने वाले स्वचालित उपकरण बनाने के लक्ष्यों के साथ सामुदायिक परियोजना द्वारा स्थिर है।[1] यह परियोजना राष्ट्रीय साइबर सुरक्षा एफएफआरडीसी द्वारा प्रायोजित है, जो अमेरिका-सीईआरटी और यूएस डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी के राष्ट्रीय साइबर सुरक्षा प्रभाग के समर्थन से मेटर कॉर्पोरेशन द्वारा संचालित है।[2][3]
सीडब्ल्यूई मानक का संस्करण 4.10 जुलाई 2021 में जारी किया गया था।[4] सीडब्ल्यूई में 600 से अधिक श्रेणियां हैं, जिनमें बफर ओवरफ्लो, पथ/निर्देशिका ट्री ट्रैवर्सल त्रुटियां, दौड़ की स्थिति, क्रॉस साइट स्क्रिप्टिंग , हार्ड-कोडेड पासवर्ड और असुरक्षित रैंडम नंबर सम्मिलित हैं।[5]
कॉमन वीकनेस एन्यूमरेशन (सीडब्ल्यूई) संगतता प्रोग्राम सेवा या उत्पाद की समीक्षा करने और आधिकारिक तौर पर
उदाहरण
- सीडब्ल्यूई श्रेणी 121 स्टैक-आधारित बफर ओवरफ्लो के लिए है।[6]
सीडब्ल्यूई संगतता
कॉमन वीकनेस एन्यूमरेशन (सीडब्ल्यूई) संगतता प्रोग्राम सेवा या उत्पाद की समीक्षा करने और आधिकारिक तौर पर सीडब्ल्यूई-संगत और सीडब्ल्यूई-प्रभावी के रूप में पंजीकृत होने की अनुमति देता है। प्रोग्राम संगठनों को सही सॉफ्टवेयर उपकरण चुनने और संभावित वीकनेस और उनके संभावित प्रभाव के बारे में सीखने में सहायता करता है।
सीडब्ल्यूई संगत स्थिति प्राप्त करने के लिए किसी उत्पाद या सेवा को 6 में से 4 आवश्यकताओं को पूरा करना होगा, जो नीचे दिखाया गया है:
| सीडब्ल्यूई खोजने योग्य | उपयोगकर्ता सीडब्ल्यूआई पहचानकर्ताओं का उपयोग करके सुरक्षा तत्वों को खोज सकते हैं |
| सीडब्ल्यूई आउटपुट | उपयोगकर्ताओं को प्रस्तुत किए गए सुरक्षा तत्वों में संबंधित सीडब्ल्यूआई पहचानकर्ता सम्मिलित हैं, या उपयोगकर्ताओं को प्राप्त करने की अनुमति देते हैं |
| मानचित्रण स्पष्टता | सुरक्षा तत्व उचित सीडब्ल्यूई पहचानकर्ताओं से स्पष्ट रूप से लिंक होते हैं |
| सीडब्ल्यूई दस्तावेज़ीकरण | क्षमता के दस्तावेज़ीकरण में सीडब्ल्यूई, सीडब्ल्यूई संगतता और क्षमता में सीडब्ल्यूई-संबंधित कार्यक्षमता का उपयोग कैसे किया जाता है, इसका वर्णन किया गया है |
| सीडब्ल्यूई कवरेज | सीडब्ल्यूई-संगतता और सीडब्ल्यूई-प्रभावकारिता के लिए, क्षमता के दस्तावेज स्पष्ट रूप से सीडब्ल्यूई-आईडी को सूचीबद्ध करते हैं जो क्षमता सॉफ़्टवेयर में पता लगाने के विरुद्ध कवरेज और प्रभावशीलता का प्रमाणित करती है। |
| सीडब्ल्यूई परीक्षा के परिणाम | सीडब्ल्यूई-प्रभावकारिता के लिए, सीडब्ल्यूई के लिए सॉफ्टवेयर का आकलन करने के परिणाम दिखाने वाली क्षमता से परीक्षण के परिणाम सीडब्ल्यूई वेब साइट पर पोस्ट किए जाते हैं। |
सितंबर 2019 तक 56 संगठन हैं जो सीडब्ल्यूई संगत स्थिति प्राप्त करने वाले उत्पादों और सेवाओं का विकास और रखरखाव करते हैं।[7]
अनुसंधान, समालोचना और नए विकास
कुछ शोधकर्ता सोचते हैं कि सीडब्ल्यूई में अस्पष्टताओं से बचा जा सकता है या उन्हें कम किया जा सकता है।[8]
यह भी देखें
- सामान्य भेद्यताएं और कठिन परिस्थिति (सीवीई)
- सामान्य भेद्यता स्कोरिंग प्रणाली (सीवीएसएस)
- राष्ट्रीय भेद्यता डेटाबेस
संदर्भ
- ↑ "सीडब्ल्यूई - सीडब्ल्यूई के बारे में". at mitre.org.
- ↑ National Vulnerabilities Database CWE Slice at nist.gov
- ↑ Goseva-Popstojanova, Katerina; Perhinschi, Andrei (2015). "सुरक्षा कमजोरियों का पता लगाने के लिए स्थिर कोड विश्लेषण की क्षमता पर". Information and Software Technology (in English). 68: 18–33. doi:10.1016/j.infsof.2015.08.002.
- ↑ "CWE Version 4.10 Now Available". The MITRE Corporation. Retrieved 9 March 2022.
- ↑ The Bugs Framework (BF) / Common Weakness Enumeration (CWE) at nist.gov
- ↑ CWE-121: Stack-based Buffer Overflows
- ↑ "CWE - CWE-संगत उत्पाद और सेवाएँ". at mitre.org.
- ↑ Paul E. Black, Irena V. Bojanova, Yaacov Yesha, Yan Wu. 2015. Towards a “Periodic Table” of Bugs
बाहरी संबंध
- Certifying Applications for Known Security Weaknesses. The Common Weakness Enumeration (सीडब्ल्यूई) Effort // 6 March 2007
- "Classes of Vulnerabilities and Attacks" (PDF). Wiley Handbook of Science and Technology for Homeland Security. comparison of different vulnerability Classifications. Archived from the original (PDF) on 2016-03-22.
{{cite web}}: CS1 maint: others (link)
