CWE (Common Weakness Enumeration)

CWE（Common Weakness Enumeration, 共通脆弱性タイプ一覧） はソフトウェアにおける脆弱性の種類をまとめて共通の基準としたもの

例

パスワードを復元可能な形式で保存すること

CWE - CWE-257: Storing Passwords in a Recoverable Format (4.15)

機密情報のハードコーディング

CWE - CWE-798: Use of Hard-coded Credentials (4.15)

例えばソースコードにパスワードを書いておくこと

SQL インジェクション

CWE - CWE-89: Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) (4.15)

Cross-site scripting (XSS)

CWE - CWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) (4.15)

参考

• CWE - New to CWE

• 共通脆弱性タイプ一覧CWE概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構