1. 개요
Common Weakness Enumerationcwe.mitre.org
목록 (v4.19)
github
미국의 비영리 단체 MITRE에 의해 운영되는 국토안보 시스템 엔지니어링 및 개발 연구소(HSSEDI) 가 관리하는 보안 약점 분류 체계이다. 같은 곳에서 CVE도 관리하고 있다.
2. 특징
보안 약점(weakness)은 보안 취약점과는 다른데, 쉽게 말해 취약점은 특정 소프트웨어(또는 하드웨어)에 발생한 실제 악용 가능한 요소이고, 약점은 각각의 취약점을 발생시키는 공통적인 원인을 말한다. 가령 CVE-2023-3047는 15버전 이하의 TMT Lockcell 펌웨어에서 발생한 취약점이지만, 그 형태는 SQL 인젝션이고 이는 CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')로 등록되어 있는 식. CVE와 CWE 모두 MITRE를 통해 관리되기 때문에 아래 레퍼런스 페이지에서 RCM을 통해 연결되어 있다.각각의 특정한 약점 요소를 등재하면 CWE-XXX 식의 식별자를 부여받으며, 보통 연관된 다른 약점과 트리 형태의 구조로 세밀하게 분류된다. 가령 CWE-787 OOB(경계 초과)의 하위 약점으로 CWE-120 버퍼 오버플로우, CWE-121 스택 오버플로우, CWE-122 힙 오버플로우, CWE-124 버퍼 언더플로우 등 연관된 약점이 분류되는 식이다.