对于软件来说,安全是航空、航天、军工、电力、金融等关键行业极为重视的特性之一。因此,保证软件尽量安全是软件研发人员的重要责任。可以说,软件安全漏洞是软件研发者的一大死敌。古语有云:知彼知己,百战不殆。要想取得战争的胜利,就要尽可能充分认识软件安全漏洞。CWE就是认识它们的一个窗口。从今天开始,我通过把CWE中的内容逐步翻译出来,同大家一起认识和了解软件漏洞,进而找到制服它们的方法。
CWE是社区开发的常见软件安全漏洞列表。它是一种通用语言,是软件安全工具的衡量标准,也是弱点识别、缓解和预防工作的基准。不仅仅是开发人员,CWE对软件设计者、测试人员、质保人员、测评结构等软件整个生存周期所涉及到的人员都相关。而且,它也是软件安全相关领域研究人员的重要参考。对于软件弱点,不同的人员有不同的角度,因此,CWE给出了很多视图,每个视图都是从特定的角度来阐述软件弱点,以使相关领域的人员更易于理解。
“C软件视图”中包括了使用C语言开发的软件中存在的一些特定的弱点,这些弱点在其它语言(不包括C++)中一般不会出现。由于本人是研发人员,而且,c语言至今仍然是重要行业中使用最广泛的语言,所以,我们就从CWE的“C软件视图”开启认识CWE的第一步。
