這個文章說明了 Lucent Sky AVM 使用的弱點分類方式,以及不同版本的 Lucent Sky AVM 所支援的安全標準和弱點清單。
Lucent Sky AVM 如何分類弱點
Lucent Sky AVM 使用 CWE ID 作為主要的分類方式。CWE 使用層疊式架構,也就是說一個弱點可能可以被歸類為好幾個不同的 CWE ID。對於這些弱點,Lucent Sky 團隊與外部專家以及相關人士合作來決定要使用哪個 CWE ID。
這麼做的目標是使用具有可識別且獨特定義的 CWE ID(例如選擇 CWE-201: Information Exposure Through Sent Data 而非 CWE-200: Exposure of Sensitive Information to an Unauthorized Actor),並避免讓掃描結果充滿數百個相似的 CWE ID(例如選擇 CWE-22: Path Traversal 而非 CWE-32: Path Traversal: '…' (Triple Dot))。
支援的安全標準和弱點清單
這個表格指出 Lucent Sky AVM 的「內建」規則套件中所包含的安全標準和弱點清單。
| 標準1 | 版本 | Lucent Sky AVM 版本2 |
|---|---|---|
| CVE | 所有 | |
| CVSS | 3.1 | 所有 |
| CWE3 | 4.14 | 所有 |
| CWE Top 25 | 2023 | 2309 |
| 2022 | 所有 | |
| 2021 | 所有 | |
| 2020 | 所有 | |
| 2019 | 所有 | |
| CWE/SANS Top 25 | 3.0 | 所有 |
| HIPAA4 | 所有 | |
| MISRA C4 | 2004 | 所有 |
| 2012 | 所有 | |
| MISRA C++4 | 2008 | 所有 |
| OWASP API Security Top 10 | 2019 | 所有 |
| OWASP ASVS | 4.0 | 所有 |
| OWASP Mobile Top 10 | 2016 | 所有 |
| 2014 | 所有 | |
| OWASP Top 10 | 2021 | 所有 |
| 2017 | 所有 | |
| 2013 | 所有 | |
| 2010 | 所有 | |
| PCI-DSS5 | 4.0 | 所有 |
| 3.2.1 | 所有 |
1. 大多數的安全標準和弱點清單都包含超過靜態程式碼分析的範圍的弱點。特定的標準或清單的含括不代表其所包含的所有弱點皆被支援。要深入了解關於 Lucent Sky AVM 如何協助組織符合這些標準的要求,請連絡 Lucent Sky 支援。
2. 僅包含仍被支援的 Lucent Sky AVM 版本(依此文章的最後修訂日期)。此外,某些安全標準和弱點清單(例如 CWV 和 CVSS)僅支援該版本 Lucent Sky AVM 發佈時當前的版本。要深入了解特定 Lucent Sky AVM 版本所支援的安全標準及弱點清單的版本,請連絡 Lucent Sky 支援。
3.
要取得 Lucent Sky AVM 支援的 CWE 弱點類別清單,請參考 Lucent Sky 知識庫:
Lucent Sky AVM 支援的弱點類別清單.
4. 「內建」規則套件具有包含這些標準的弱點類別,但這些標準沒有預先設定的弱點原則群組。
5.
要深入了解關於 Lucent Sky AVM 和 PCI DSS 遵循,請參考 Lucent Sky 知識庫:
Lucent Sky AVM for PCI DSS Compliance。