IT보안관의 공부 클라우드
CVE CWE 차이점 본문
* CVE (Common Vulnerabilities and Exposures) v.s. CWE (Common Weakness Enumeration)
일단,
CVE의 V 는 취약점(Vulnerabilities) 를 의미하며, CVE는 취약점 리스트이다.
CWE의 W 는 보안약점(weakness) 를 의미하며, CWE는 보안약점 리스트이다.
그럼 취약점이랑 보안약점이랑 무엇이 다르냐? mitre 홈페이지에 있는 문장을 직역하면 아래와 같음
* 취약점 (vulnerabilities) v.s. 보안약점 (weakness)
- 보안약점 : 소프트웨어 취약점(vulnerabilities)으로 이어질 수 있는 오류 (error) 입니다.
- 취약점 : 해커가 시스템이나 네트워크에 액세스하기 위해 직접 사용할 수 있는 소프트웨어의 실수 (mistake) 입니다.
의역을 더하면,
보안약점이 더 넓은 개념이다. 보안약점 중 익스플로잇(exploit) 해서 공격자가 악용할 수 있으면 취약점이 될 수 있다. 하지만 보안약점이라도 공격자가 익스플로잇 할 수 없으면 취약점이 아니다.
* 이해를 돕기 위해, CWE 가 생기게 된 배경에 대해 말씀드리면,
MITRE의 CVE 팀은 일반적인 소프트웨어 취약점(vulnerabilities) 을 정의하기 위해 2005 년부터 취약점, 공격, 결함 및 기타 개념을 사전 분류 및 범주로 분류했습니다. 그러나 코드 보안 평가 업계의 오퍼링에서 제공되는 기능을 식별하고 분류하는데는 너무 러프했음.. 취약점 뿐 만 아니라 보안약점(weakness) 와 같이 더 상세한 분류가 필요
* 한 가지 쉽게 구분할 수 있는 팁은,
CVE는 CVE-2019-XXXX 와 같은 형식을 가진다. 즉, 연도가 들어간다.
CW는 CWE-YYY 와 같은 형식을 가진다.
https://cwe.mitre.org/index.html
CWE - Common Weakness Enumeration
CWE™ is a community-developed list of common software security weaknesses. It serves as a common language, a measuring stick for software security tools, and as a baseline for weakness identification, mitigation, and prevention efforts. View the List of Weaknesses by Research Concepts by Development...
cwe.mitre.org
https://cwe.mitre.org/index.html
CWE - Common Weakness Enumeration
CWE™ is a community-developed list of common software security weaknesses. It serves as a common language, a measuring stick for software security tools, and as a baseline for weakness identification, mitigation, and prevention efforts. View the List of Weaknesses by Research Concepts by Development...
cwe.mitre.org
출처: m.blog.naver.com/bycho211/221508854566
'IT > 정보보안' 카테고리의 다른 글
| 보안기사 중요 키워드 및 문제 정리 (1) | 2020.06.26 |
|---|---|
| 정적 및 동적 분석 방법 (0) | 2020.06.26 |
| 안전성 확보조치 기준(개보법) vs 기술적 관리적 보호조치(망법) 기준 비교(구) (0) | 2020.06.17 |
| 개인정보의 기술적·관리적 보호지치 기준 주요 항목(망법)(구) (0) | 2020.06.17 |
| 정보통신망 이용촉진 및 정보보호 등에 관한 법률(망법) 주요 항목(구) (0) | 2020.06.16 |