此網站介紹了由 Fortify Software 安全研發團隊與 Gary McGraw 博士共同開發的一種軟體安全性錯誤分類法。每種弱點類別都附隨了問題的詳細說明,以及對原始來源和程式碼引用 (若適用) 的參考,從而更好地說明問題。
藉助於生物學術語來描述類別架構的組織:弱點類別稱為「門」,而共用同一主題的弱點類別集合稱為「界」。弱點門歸類為「七加一」種惡性界,依對軟體安全性的重要性順序顯示:
- Input Validation and Representation
- API Abuse
- Security Features
- Time and State
- Errors
- Code Quality
- Encapsulation
- * Environment
前七個界與來源程式碼中的安全性瑕疵相關聯,而最後一個界則描述實際程式碼以外的安全性問題。若要瀏覽界和門的描述,只需要導覽左側的分類法樹狀結構。
定義此分類法的主要目標是組織安全性規則組,這些規則可用於協助軟體開發人員瞭解影響安全性的錯誤類型。透過深入瞭解系統故障情況,開發人員將更好地分析所建立的系統,在發現故障時更容易地識別並找出安全性問題,並且通常會避免在未來重複發生相同的錯誤。
當使用分析工具時,根據此分類法組織的一組安全性規則是一個功能強大的教育機制。因為現今的開發人員一般並不知道會將安全性問題引入其工作的種種方式,所以使用分類法應該會為軟體安全性社群提供切實的好處。
定義更好的分類架構也可提供更好的工具:深入瞭解問題有助於研究人員和從業人員建立找出問題的更好方法。
若要瞭解更多關於分類法的資訊,請參考原文 《七種惡性界:軟體安全性錯誤的分類法》 以及最新發佈的 《分類法的演變:十年軟體安全》 文件。