Pada proses pembuatan produk baik itu berupa software maupun hardware pasti ada bagian yang memiki kelemahan atau weakness dimana pada proses antara design sampai dengan development dan akhirnya weakness tersebut menjadi vulnerabilities. Common Weakness Enumeration (CWE) adalah sebuah komunitas yang melakukan pencatatan kelemahan baik pada software dan hardware tersebut.
Beberapa kelemahan yang ada bisa jadi adalah penyebab utama timbulnya sebuah vulnerabilities (kerentanan) dimana komunitas CWE mempermudah bagi mereka yang memiliki software maupun hardware untuk memperbaikinya.
Perbedaan dari CWE dan CVE adalah sebelum timbulnya sebuah CVE maka pasti ada informasi tentang CWE karena CWE berisikan informasi tentang apa yang menjadi penyebab utama dari CVE. Sebagai contoh adalah ketika ditemukan CVE dalam software A tentang “missing authentificaton” maka pasti ada CWE yang menerangkan sebab kenapa dalam software A memiliki kelemahan “missing authentification”.
Secara umum kelemahan itu memiliki empat pilar, yaitu Pillar, Class, Base dan Variant jika dijabarkan secara tabel maka
PILLAR -> CWE-284: Improper Access Control
CLASS -> CWE-212 : Improper Authentication
BASE -> CWE-295 : Improper Certificate Validation
VARIANT -> CWE-599 : Missing Validation of OpenSSL Certificate
Didalamnya terdapat informasi tentang bagaimana perilaku, isi dari software maupun hardware, informasi properti, sumber kode, bahasa pemrograman yang digunakan dan teknologi yang digunakan. Dimana semuanya ini bisa dikategorikan dimana kelemahan yang ada memiliki karakteristik yang sama tetapi bisa juga memiliki kombinasi yang berbeda.
Setiap CWE memiliki peta tentang vulnerabilities label sebagai berikut :
ALLOWED (CWE ID ini bisa digunakan untuk mengidentifikasi vulnerabilities yang ada)
ALLOWED (informasi review dari catatan catatan yang ada pada vulnerabilities)
DISCOURAGED (CWE ID ini tidak bisa digunakan untuk mengidentifikasi vulnerabilities yang ada)
PROHIBITED (CWE ID ini tidak boleh digunakan untuk mengidentifikasi vulnerabilities yang ada)
Pada website CWE dapat menggunakan fitur pencarian dengan berbagai filter sebagai contoh dapat menggunakan syntax inurl:definitions dengan contoh pencarian keyword “xss” maka akan muncul semua informasi CWE dengan berbagai referensi sumber kelemahan yang ada. Hal ini memudahkan untuk menemukan apa yang menjadi sumber vulnerabilities pada software maupun hardware yang ada.
