Oficiální bezpečnostní chyby v hardwaru, softwaru a službách jsou obvykle klasifikovány podle určitého systému hodnocení. Možná jste si už všimli zkratky CVE, která se často objevuje například při popisu obsahu bezpečnostních aktualizací, uvolňovaných pro operační systémy a aplikace.
Zkratka CVE znamená "Common Vulnerabilities and Exposures" a reprezentuje standardizovaný systém označování zranitelností. Pro CVE ale neexistuje žádné bezpečnostní hodnocení.
Microsoft už desítky let používá k popisu příčin zranitelností vlastní taxonomii. Podle informací bezpečnostní skupiny Microsoftu (Security Response Team) chce do budoucna přejít na průmyslový standard.
Na první pohled kosmetická změna znamená přechod na obecný standard, vyvinutý a zavedený bezpečnostní komunitou
Redmond přešel při označování zranitelností na průmyslový standard CWE, Common Weakness Enumeration. Cílem je poskytnout zákazníkům, vývojářům a bezpečnostním expertům lepší přehled o příčinách bezpečnostních zranitelností. K tomuto kroku Microsoft přistupuje v rámci své iniciativy Secure Future Initiative (SFI).
Její snahou je definovat technické priority při reorganizaci vývoje softwaru, zavést nové mechanismy ochrany identity, vnést lepší transparentnost a rychlejší reakce při řešení objevených zranitelností.
CWE je seznam obecných softwarových a hardwarových zranitelností vytvořený komunitou, který má poskytnout přesnou klasifikaci příčiny. Od dubna 2024 Microsoft uvádí při hodnocení zranitelností kromě vlastní hodnoty CVE také klasifikaci CWE.
Zdroj: Microsoft MSRC, CWE, X