CERT & CWE

什么是CERT和CWE?

与鉴释规则集一样,爱科识合并了SEI CERT编码标准中的规则,并映射到CWE。这些国际编码标准经由全球学者、软件工程师和安全分析专家等共同研究制定,通过采用这些标准,爱科识可以精准识别软件的安全漏洞。

爱科识支持大部分的CERT C,CERT C ++和CERT J编码标准。我们支持90%的CERT C 和 CERT Java 1级和2级规则。

SEI CERT C
Coding Standard

SEI CERT C++
Coding Standard

SEI CERT Oracle Coding Standard for Java

CERT安全编码标准

CERT安全编码标准由卡内基梅隆大学软件工程学院(SEI)研究所制定,是针对最常用的编程语言(例如C,C ++和Java)制定的安全编码标准。 通过全球软件开发与安全社区的合作与联盟,CERT标准为避免编码错误提供了通用的安全准则。 编码标准对于软件的安全开发至关重要。它可以确保程序员遵循统一的国际准则和规则,规避由于程序员主观喜好带来的偏差。

通用缺陷枚举

通用弱点枚举(Common Weakness Enumeration)是软件弱点和漏洞的统一类目,以通用的语言描述、讨论、选择在源代码和操作系统中发现特定弱点的安全工具和服务。 CWE可以帮助我们更好的识别架构、设计以及编码等环节存在的安全弱点,并进行管理。

CERT和CWE之间的关系

CWE和CERT分别运行,但相互支持。CWE详尽地记录了已知漏洞,而CERT指出了已知漏洞在数据和程序流之间的逻辑关系: 数据与潜在的应用程序逻辑的隐藏假设将如何导致漏洞受到外部攻击。

CWE涵盖很多已识别的漏洞,但由于每种语言都有其自身的漏洞集合,CWE还包括了高等级的设计问题,因此,不是所有的漏洞都适用于特定的编码标准。

CERT的安全编码指南并未涵盖所有CWE的弱点,这是由于某些编码错误与特定缺陷没有直接关系。 因此,两种工具的互补使用对于评估软件的安全性至关重要。

CERT、CWE以及包括OWASP在内的其它知识库,是程序员们对开发社区贡献出的最新信息,也将不断更新。随着软件的发展,知识的更新迭代,新的漏洞也必然随之出现。

鉴释的目标是与不断出现的新规则同步,不断更新我们的扫描引擎,帮助您识别新漏洞。

想进一步了解爱科识如何应用
CERT规则来帮助提高编码质量?

立即获取产品演示