Tabla de Contenidos

Marcos de referencia

MITRE

Organización sin ánimo de lucro encargada de registrar y publicar información relativa a vulnerabilidaddes y ataques conocidos dentro del ámbito de la seguridad

CWE

Common Weakness Enumeration. Es una clasificación de todas las vulnerabilidades por tipo, dirigida a desarrolladores y profesionales dedicados a la seguridad. Cada una de las debilidades o malas prácticas de programación registradas en el catálogo pueden dar lugar a una vulnerabilidad en el software final. Tipos de vulnerabilidades.

El CWE tiene un listado de las 25 vulnerabilidades más peligrosas. El CWE contiene cerca de 1000 tipos de vulnerabilidades.

CVE

Common Vulnerabilities and Exposures es una lista de volnerabilidades conocidas en programas y librerías. Esta web representa las vulnerabilidades concretas, no los tipos. Cada entrada en esta web explota uno o varios tipos de vulnerabilidades asociadas al CWE.

CNA

Entidades encargadas de asignar los identificadores CVE. CVE Numbering Authorities. Exiten varios tipos:

NVD

National Vulnerability Database es un proyecto del gobierno de EEUU que se encarga de recopilar información sibre vulnerabolidades. Similar al CVE, pero ampliado.

CAPEC

Common Attack Pattern Enumeration and Clasification es un catalogo de patrones de ataque conocidos que se usan para explotar vulnerabilidades. Detallan:

Contiene en torno a 550 patrones de ataque conocidos.

CVSS

Common Vulnerability Scoring System es una métrica para determinar la criticidad o el impacto de las vulnerabilidades. El MITRE NO usa esta métrica. Gestionado por el Forum of Incident Response and Security Teams (FIRST) que es una confederación de equipos de respuesta a equipos informáticos. Para calcular la puntuación es necesario proporcionar cierta info sobre la vulnerabilidad, a partir dela cual se obtiene una puntuación numérica mediante el uso de un algoritmo.

Para calcular esta métrica se usan características base, características particulares de un entorno completo y características ambientales.

CWSS

El Common Weakness Scoring System es un mecanismo que permite priorizar las debilidades de software.

OWASP

Open Web Application Security Project es una comunidad abierta dedicada a promover y mantener materiales relacionados con la seguridad como herramientas de software, boletines y eventos. Está mantenido por la Fundación OWASP sin anímo de lucro.