« 米国 NIST SP 800-201 NISTクラウドコンピューティング・フォレンジック参照アーキテクチャ | Main | 個人情報保護委員会 第1回 個人情報保護法のいわゆる3年ごと見直しに関する検討会 »

2024.08.03

米国 NIST SP 800-231 バグフレームワーク(BF): サイバーセキュリティの弱点と脆弱性の公式化

こんにちは、丸山満彦です。

NISTが、NIST SP 800-231 バグフレームワーク(BF): サイバーセキュリティの弱点と脆弱性の公式化を公表しましたね...

これだけで、76ページありますが、これから続々とこのシリーズが公表されるようですね...

 

● NIST - ITL

プレス

・2024.07.30 NIST Releases SP 800-231, Bugs Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities

NIST Releases SP 800-231, Bugs Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities NIST、SP 800-231「Bugs Framework(BF)」をリリース: サイバーセキュリティの弱点と脆弱性を形式化する
NIST Special Publication (SP) 800-231, Bugs Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities, is now available. It presents an overview of the Bugs Framework (BF) systematic approach and methodologies for the classification of bugs and faults per orthogonal by operation software and hardware execution phases, formal specification of weaknesses and vulnerabilities, definition of secure coding principles, generation of comprehensively labeled weakness and vulnerability datasets and vulnerability classifications, and development of BF-based algorithms and systems. NIST特別刊行物(SP)800-231「Bugs Framework(BF):サイバーセキュリティの弱点と脆弱性を形式化する」が公開された: サイバーセキュリティの弱点と脆弱性を形式化する)が入手可能になった。本書は、バグズ・フレームワーク(Bugs Framework:BF)の体系的なアプローチと、ソフトウェアとハードウェアの実行フェーズによる直交ごとのバグと障害の分類、弱点と脆弱性の正式な仕様化、安全なコーディング原則の定義、包括的にラベル付けされた弱点と脆弱性のデータセットと脆弱性の分類の生成、BFに基づくアルゴリズムとシステムの開発のための方法論の概要を示している。
The current state of the art in describing security weaknesses and vulnerabilities are the Common Weakness Enumeration (CWE) and the Common Vulnerabilities and Exposures (CVE). However, the CWE and CVE use a one-dimensional list approach to organizing the entries and natural language descriptions. They do not exhibit methodologies for systematic comprehensive labeling of weaknesses and vulnerabilities, tracking the weaknesses underlying a vulnerability, or root cause identification from a security failure. セキュリティの弱点と脆弱性を記述する技術の現状は、CWE(Common Weakness Enumeration)とCVE(Common Vulnerabilities and Exposures)である。しかし、CWEとCVEは、項目と自然言語の記述を整理するために、一次元のリストアプローチを使用している。これらは、弱点と脆弱性の体系的で包括的なラベリング、脆弱性の根底にある弱点の追跡、セキュリティ障害からの根本原因の特定などの方法論を示していない。
SP 800-231 presents the BF formal system (and methods) that comprises: SP 800-231 は、BF 形式システム(および方法)を提示している:
・Bugs models of distinct execution phases with orthogonal sets of operations in which specific bugs and faults could occur 特定のバグや欠陥が発生する可能性のある操作の直交するセットを持つ、明確な実行フェーズのバグモデル
・Structured, multidimensional, orthogonal, and context-free weakness taxonomies  構造化された、多次元、直交、文脈自由な脆弱性分類法 
・Vulnerability state and specification models as chains of weaknesses toward failures 故障に向かう弱点の連鎖としての脆弱性の状態と仕様モデル
・A formal language for the unambiguous causal specification of weaknesses and vulnerabilities 弱点と脆弱性の因果関係を明確に規定するための形式言語
・Tools that facilitate the generation of CWE2BF and CVE2BF mappings and formal weakness and vulnerability specifications and their graphical representations CWE2BFとCVE2BFのマッピング、弱点と脆弱性の公式仕様とそのグラフィカル表現の生成を容易にするツール。
The BF formalism guarantees precise descriptions with clear causality of weaknesses (including CWE) and vulnerabilities (including CVE) and complete, orthogonal, and context-free weakness-type coverage. It forms the basis for the formal definition of secure coding principles, such as memory safety. It also enables the creation of comprehensively labeled weakness and vulnerability datasets, vulnerability classifications, and BF-based bug identification and vulnerability detection, analysis, and resolution or mitigation systems. BFフォーマリズムは、弱点(CWEを含む)と脆弱性(CVEを含む)の因果関係を明確にした正確な記述と、完全、直交、文脈のない弱点タイプカバレッジを保証する。メモリ安全性のようなセキュアコーディング原則の形式的定義の基礎を形成する。また、包括的にラベル付けされた弱点と脆弱性のデータセット、脆弱性の分類、BFに基づくバグの特定と脆弱性の検出、分析、解決または緩和システムの作成を可能にする。

 

本文

・2024.07.30 NIST SP 800-231 Bug Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities

NIST SP 800-231 Bug Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities NIST SP 800-231 バグフレームワーク(BF): サイバーセキュリティの弱点と脆弱性の公式化
Abstract 概要
The Bugs Framework (BF) is a classification of security bugs and related faults that features a formal language for the unambiguous specification of software and hardware security weaknesses and vulnerabilities. BF bugs models, multidimensional weakness and failure taxonomies, and vulnerability models define the lexis, syntax, and semantics of the BF formal language and form the basis for the definition of secure coding principles. The BF formalism supports a deeper understanding of vulnerabilities as chains of weaknesses that adhere to strict causation, propagation, and composition rules. It enables the generation of comprehensively labeled weakness and vulnerability datasets and multidimensional vulnerability classifications. It also enables the development of new algorithms for code analysis and the use of AI models and formal methods to identify bugs and detect, analyze, prioritize, and resolve or mitigate vulnerabilities. バグフレームワーク(Bugs Framework:BF)は、ソフトウェアやハードウェアのセキュリティ上の弱点や脆弱性を明確に仕様化するための形式的な言語を特徴とする、セキュリティ上のバグや関連する障害の分類である。BFのバグモデル、多次元的な弱点と故障の分類法、脆弱性モデルは、BF形式言語の語彙、構文、意味論を定義し、安全なコーディング原則の定義の基礎を形成する。BFフォーマリズムは、厳密な因果関係、伝播、合成規則に従う弱点の連鎖として、脆弱性をより深く理解することをサポートする。これにより、包括的にラベル付けされた弱点と脆弱性のデータセットと、多次元的な脆弱性の分類を生成することができる。また、コード解析のための新しいアルゴリズムの開発や、バグを特定し、脆弱性を検出、分析、優先順位付け、解決または緩和するためのAIモデルと形式的手法の利用も可能になる。

 

[PDF] NIST.SP.800-231

20240802-231533

 

目次...

1. Introducton 1. 導入
2. Current State of the Art 2. 技術の現状
3. Bugs Framework Formalism 3. バグズ・フレームワークの形式論
3.1. BF Operaton 3.1. BF演算子
3.2. BF Bug, Fault, and Weakness 3.2. BF バグ、故障、弱点
3.3. BF Vulnerability 3.3. BFの脆弱性
3.4. BF Bug Identficaton 3.4. BFバグの特定
4. BF Security Concepts 4. BFのセキュリティ概念
5. BF Bugs Models 5. BFバグのモデル
5.1. BF Input/Output Check ( INP) Bugs Model 5.1. BF入出力チェック(INP)バグ・モデル
5.2. BF Memory ( MEM) Bugs Model 5.2. BF メモリ ( MEM ) バグモデル
5.3. BF Data Type ( DAT) Bugs Model 5.3. BFデータ型(DAT)バグモデル
6. BF Taxonomy 6. BF分類法
6.1. BF Weakness Classes 6.1. BF弱点クラス
6.2. BF Failure Class 6.2. 故障クラス
6.3. BF Methodology 6.3. BFメソドロジー
7. BF Vulnerability Models 7. BF脆弱性モデル
7.1. BF Vulnerability State Model 7.1. BF脆弱性状態モデル
7.2. BF Vulnerability Specificaton Model 7.2. BF脆弱性特定化モデル
8. BF Formal Language 8. BF形式言語
8.1. BF Lexis 8.1. BFレクシス
8.2. BF Syntax 8.2. BF構文
8.3. BF Semantcs 8.3. BFの意味
9. BF Secure Coding Principles 9. BFセキュアコーディングの原則
9.1. Input/Output Check Safety 9.1. 入出力チェックの安全性
9.2. Memory Safety 9.2. メモリの安全性
9.3. Data Type Safety 9.3. データ型の安全性
10. BF Tools 10. BFツール
10.1. BFCWE Tool 10.1. BFCWEツール
10.2. BFCVE Tool 10.2. BFCVEツール
10.3. BF GUI Tool 10.3. BF GUIツール
11. BF Datasets and Systems 11. BFデータセットとシステム
11.1. BFCWE Dataset 11.1. BFCWEデータセット
11.2. BFCVE Dataset 11.2. BFCVEデータセット
11.3. BF Vulnerability Classificatons 11.3. BF脆弱性分類
11.4. BF Systems 11.4. BFシステム
12. Conclusion 12. おわりに
References 参考文献

 

 

|

« 米国 NIST SP 800-201 NISTクラウドコンピューティング・フォレンジック参照アーキテクチャ | Main | 個人情報保護委員会 第1回 個人情報保護法のいわゆる3年ごと見直しに関する検討会 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 NIST SP 800-201 NISTクラウドコンピューティング・フォレンジック参照アーキテクチャ | Main | 個人情報保護委員会 第1回 個人情報保護法のいわゆる3年ごと見直しに関する検討会 »