В связи с многочисленными просьбами система классификации ошибок, приводящих к уязвимостям, была расширена.
Американская некоммерческая организация MITRE Corporation обновила список Common Weakness Enumeration (CWE) разделом, посвященным уязвимостям в аппаратном обеспечении.
The Common Weakness Enumeration (CWE) является системой классификации ошибок. Проект спонсируется MITRE и поддерживается Компьютерной командой экстренной готовности США (United States Computer Emergency Readiness Team) и Национальным отделом кибербезопасности Министерства внутренней безопасности США (National Cyber Security Division of the US Department of Homeland Security).
До сих пор список CWE классифицировал только проблемы в программном обеспечении, но с выпуском версии 4.0 теперь охватывает и проблемы безопасности, возникающие при проектировании оборудования. Теперь список включает уязвимости, связанные с производством и управлением жизненным циклом; проблемами безопасности и интеграции; разделением привилегий и контроля доступа; проблемами схемотехники и логического дизайна; проблемами ядра, вычислительных процессов, памяти и хранилища; проблемами в периферийных устройствах, встроенных системах на кристалле (SoC) и интерфейсах ввода-вывода; криптографическими проблемами; проблемами с питанием, часами и сбросом настроек, отладки и тестирования, а также сквозных процессов.
Данное дополнение поможет разработчикам лучше понимать потенциальные ошибки, которые могут быть допущены в определенных областях при проектировании аппаратного обеспечения.
Спойлер: мы раскрываем их любимые трюки