Un inventaire des vulnérabilités pour mieux sécuriser les logiciels

, Partager

Le Department of Homeland Security finance un projet Common Weakness Enumeration dont le propos est de recenser et classifier (au sens d’une taxonomie voire d’une métrique) les vulnérabilités logicielles et de mettre à disposition cet inventaire ainsi que des outils destinés à détecter ces vulnérabilités dans un code source.
Ce projet est confié à MITRE (une ONG qui travaille essentiellement sur commandes du gouvernement fédéral, DoD, FAA et IRS), dans le cadre du projet SAMATE lui-même confié au NIST.
Le responsable de ce projet a publié un article dans CrossTalk (The Journal of Defense Software Engineering) pour exposer l’avancement de ce projet et en présenter l’organisation.

La démarche repose sur la mise en commun des contributions d’un ensemble de chercheurs et d’organisation (un peu dans l’esprit des logiciels libres), parmi lesquels des universités (Purdue, James Madison, Johns Hopkins, NCSU, CMU, le MIT, etc.), des agences (NIST, NSA), des sociétés privées (IBM, Oracle, Microsoft, KDM, Unisys etc.) et des ONG. Par ailleurs il vise à fournir un niveau de détail et d’opérationnalité conduisant effectivement à la mise en oeuvre de stratégie de détection en amont dans le cycle du développement logiciel.

L’inventaire, encore qualifié de préliminaire, en est à sa cinquième édition.

Source :

Being Explicit About Security Weaknesses
http://stsc.hill.af.mil/crosstalk/2007/03/0703Martin.html

Pour en savoir plus, contacts :


- http://cwe.mitre.org/index.html
- http://samate.nist.gov/index.php/Main_Page
Code brève
ADIT : 41685

Rédacteur :

Jean-Philippe Lagrange attache-stic.mst@ambafrance-us.org

Voir en ligne : http://www.bulletins-electroniques….