CWE(Common Weakness Enumeration)

CWE(Common Weakness Enumeration)는 보안 취약점으로 이어질 수 있는 일반적인 소프트웨어 및 하드웨어 약점 목록입니다. CWE는 일반적인 유형의 약점을 식별하고 설명 및 분류하는 표준 방법을 제공하며 보안 전문가 및 조직에서 사이버 보안 위험에 대한 이해와 관리를 개선하는 데 사용됩니다.

각 CWE 항목에는 고유 식별자, 약점에 대한 설명, 관련 예, 참조 또는 수정에 필요한 점이 포함됩니다. CWE 식별자는 CWE-NNN 형식이며 여기서 NNN은 CWE 시스템 내의 고유 번호입니다.

CWE는 여러 각 나라에 걸친 광범위한 사이버 보안 관련 커뮤니티와 협력하여 MITRE Corporation에서 유지 관리합니다. CWE 시스템은 범주와 클래스 및 하위 클래스로 구성되어 특정 약점을 쉽게 탐색하고 검색할 수 있습니다.

CWE는 다음을 포함하여 소프트웨어 보안을 개선하는 다양한 방법으로 사용될 수 있습니다.

Vulnerability assessmen는 취약성 평가로 보안 전문가는 CWE를 사용하여 소프트웨어 및 하드웨어 시스템의 취약성을 식별하고 우선순위를 지정할 수 있습니다.
Secure coding은 안전한 코딩이 필요로 함을 개발자에게 CWE를 사용하여 일반적인 소프트웨어 약점에 대해 배우고 소프트웨어 개발 프로세스 중에 이를 피하거나 완화하기 위한 조치를 취할 수 있습니다.
Security testing는 보안 테스트로 침투 테스터 및 기타 보안 전문가는 CWE를 사용하여 테스트를 안내하고 일반적인 유형의 취약점을 다루고 있는지 확인할 수 있습니다.
Risk management는 위험 관리로 조직은 CWE를 사용하여 다양한 유형의 약점 위험을 평가하고 이를 해결하기 위한 노력의 우선 순위를 지정할 수 있습니다.

CWE-119: 메모리 버퍼 범위 내에서의 부적절한 작업을 검사해야 합니다.
CWE-20: 부적절한 입력을 검사해야 합니다.
CWE-89: SQL 명령에 사용된 부적절한 특수 요소를 검사해야 합니다. SQL Injection
CWE-78: OS 명령에 사용된 부적절한 특수 요소를 검사해야 합니다. OS Command Injection
CWE-732: 중요한 리소스에 대한 잘못된 권한 할당을 검사해야 합니다.