Microsoft beschrijft oorzaak eigen kwetsbaarheden via CWE-standaard

[Captain Kirk]

Microsoft gaat de oorzaak van kwetsbaarheden in de eigen producten voortaan via de CWE-standaard beschrijven. CWE staat voor Common Weakness Enumeration en is een industriestandaard waarmee de onderliggende oorzaak van een kwetsbaarheid wordt beschreven zoals bijvoorbeeld 'verkeerde invoervalidatie', 'gebruik van hard-coded credentials' of 'verkeerde authenticatie'.

Volgens Microsoft moet het gebruik van de CWE-standaard binnen de eigen beveiligingsbulletins voor betere discussies zorgen over het vinden en voorkomen van dergelijke kwetsbaarheden in bestaande software en hardware, en ze ook in toekomstige updates en releases zoveel mogelijk te beperken. "Als industrie kunnen we niet managen wat we niet kunnen meten. Door onze eigen kwetsbaarheden van nauwkeurige CWE's te voorzien, alsmede sectorgenoten op te roepen hetzelfde te doen, is de sleutel tot het systematisch begrijpen, verhelpen en neutraliseren van gehele klasse kwetsbaarheden", aldus Microsofts Lisa Olson.

 

 

bron: https://www.security.nl