Please enable JavaScript.
Coggle requires JavaScript to display documents.
CWE: Common Weakness Enumeration – Status Update - Coggle Diagram
CWE: Common Weakness Enumeration – Status Update
Introducción
Problema: falta de estructura en la industria de evaluación de software.
Iniciativas relacionadas:
SAMATE (NIST/DHS)
OMG SwA SIG
Necesidad de confianza en software libre de debilidades conocidas.
Primeros Pasos
Creación de un diccionario común de debilidades.
Importancia de la transparencia en el proceso (documentación abierta, fuentes disponibles).
Revisión de esfuerzos previos para clasificar debilidades.
Construcción Inicial (Priming the Pump)
Fuentes Principales:
CLASP (90+ conceptos).
Seven Pernicious Kingdoms (110+ conceptos).
PLOVER (300+ tipos de debilidades).
Publicación en diferentes formatos (web, XML, vistas gráficas).
Resultado: borrador con ~500 debilidades.
Expansión de CWE
Aporte adicional de universidades, OWASP, CERT/CC.
Creación de un esquema formal con metadatos.
Contribución de 13 organizaciones (ej. Fortify, Coverity, Veracode, etc.).
Impacto y oportunidades
Impactos Directos
Comparación de herramientas de seguridad.
Validación de coberturas.
Lenguaje común.
Soporte a contratos gobierno/industria.
Nuevas oportunidades:
Catálogo de reglas de codificación.
Perfiles de protección por lenguaje/plataforma.
Alineación con iniciativas:
Mapeo CWE / CVE.
Conexión con SAMATE, BSI, OWASP.
Conclusión
Aceleración en uso de herramientas de aseguramiento.
CWE como base para madurar la industria de evaluación de seguridad.