CWE - Common Weakness Enumeration
Klassifikation von Schwachstellentypen
Was bedeutet CWE?
CWE (Common Weakness Enumeration) ist ein von MITRE gepflegter Katalog, der Schwachstellentypen klassifiziert. Im Gegensatz zur CVE, die eine konkrete Sicherheitslücke in einem konkreten Produkt beschreibt, kategorisiert CWE die zugrunde liegende Ursache - etwa „CWE-89: SQL-Injection” oder „CWE-787: Out-of-bounds Write”. CWE ist damit die gemeinsame Sprache für Schwachstellen-Muster - in der Entwicklung, bei Pentests und in der Sicherheitsanalyse.
Unterschied zwischen CVE und CWE
CVE benennt das „Was“ - eine konkrete Schwachstelle in einer konkreten Software-Version. CWE benennt das „Warum“ - den Programmierfehler oder Designfehler, der zur Schwachstelle geführt hat. Ein CVE-Eintrag enthält in der Regel eine Referenz auf eine oder mehrere CWE-Kategorien.
CWE Top 25
Jedes Jahr veröffentlicht MITRE die „CWE Top 25 Most Dangerous Software Weaknesses“ - eine nach realer Auftretenshäufigkeit und Schadenpotenzial gewichtete Rangliste. Sie dient als Priorisierungs-Hilfe für sichere Softwareentwicklung.
Bedeutung für sichere Entwicklung
CWE-Referenzen sind ein Pflichtbestandteil seriöser Security-Advisories. Sie ermöglichen es, gezielt Schulungen, Code-Reviews und automatisierte Tests auf wiederkehrende Schwachstellen-Muster auszurichten - etwa solche aus der OWASP Top 10, die sich vollständig auf CWE-IDs abbilden lassen.