このビューは、セキュアな言語開発などの戦術を用いた弱点の排除を支援するために、大規模なソフトウェア保証研究に関心のあるカテゴリを中心に弱点を整理している。また、一般に公開されている脆弱性データから弱点の傾向を追跡することも目的としている。 このビューは、弱点のサブセットのみを使用する他の多くのビューとは異なり、すべての弱点が含まれていなければならないという点で包括的である。このビューは、最上位にカテゴリーを置き、第二階層に弱点のみを置くという構造になっている。リサーチビュー(CWE-1000)で提示された弱点間の関係は示されていません。
各弱点は1つのカテゴリーにのみ追加されます。つまり、どの弱点も複数のカテゴリーに属することはできません。弱点は1つの特性のみに沿って厳密に分類することはできませんが、強制的に1つのカテゴリーに分類することで、ある種の分析を単純化することができます。
(1)CWEが他と比較してあまり充実していない分野があること、(2)グループ分けにおけるCWEの抽象度が、あるバケットではバリアントレベルまで下がり、他のバケットでは下がる可能性があること。
This view organizes weaknesses around categories that are of interest to large-scale software assurance research to support the elimination of weaknesses using tactics such as secure language development. It is also intended to help tracking weakness trends in publicly disclosed vulnerability data. This view is comprehensive in that every weakness must be contained in it, unlike most other views that only use a subset of weaknesses. This view is structured with categories at the top level, with a second level of only weaknesses. Relationships among the weaknesses presented under the research view (CWE-1000) are not shown.
Each weakness is added to only one category. All categories are mutually exclusive; that is, no weakness can be a member of more than one category. While weaknesses defy strict categorization along only one characteristic, the forced bucketing into a single category can simplify certain kinds of analysis.
Note that the size of each category can vary widely because (1) CWE is not as well fleshed-out in some areas compared to others; (2) abstraction of the CWEs in the grouping might go down to Variant level for some buckets, versus others.
不明