CWE

Common Weakness Enumeration

A Community-Developed List of Software Weakness Types

CWE/SANS Top 25 Most Dangerous Software Errors
Home > CWE List > Reports > Stakeholder Field Priorities  
ID

Stakeholder Field Priorities
Stakeholder Field Priorities

This report lists the active CWE fields and attempts to characterize their relative importance to various stakeholders. Because there are many different uses for CWE, this report will help the CWE Content Team to prioritize content management activities.

Identified Stakeholders
Identified Stakeholders
Type Tier Description
SW Cust 1 Customers of software, whether it is commercial or open source, customized or widely available.
Devel 1 Developers, designers, architects, and vendors of software, whether it is commercial or open source, customized or widely available. Could also be Assessment Customers. Note: this group includes the internal development team, any contracted third-party developers, and the marketing/support teams who act as the interface to customers.
Scan Vend 1 Assessment Vendors - Developers of code scanners, services, and other types of assessment technologies.
Scan Cust 1 Assessment Customers - Purchasers and users of technologies and services that are useful for measuring or improving software assurance, such as code scanning tools.
Educ 2 Educators or certification programs that teach developers how to develop more secure code, and/or how to find vulnerabilities.
SATE 2 NIST/SAMATE Static Analysis Tool Exposition (SATE) and similar efforts that seek to understand the capabilities of static analysis tools with respect to software assurance.
IEC 2 ISO/IEC Project 22.24772, which is developing "Guidance for Avoiding Vulnerabilities through Language Selection and Use"
Formal 2 The CWE Formalization project, led by KDM Analytics.
Web 2 The web application security community, such as OWASP and WASC.
Code Std 3 Advocates or creators of secure coding standards.
Academic 3 Academic researchers.
App Research 3 Applied vulnerability researchers, i.e., individuals or groups who analyze real-world software to find and resolve vulnerabilities in that software.
RVI 3 Refined vulnerability information providers, i.e., vulnerability databases and notification services that provide real-world software vulnerability information to downstream consumers, typically system administrators or enterprise security professionals.
CWE 1 The CWE content team itself, both for maintenance and longer-term goals.
Stakeholder Field Priorities
Stakeholder Field Priorities
Key
High The field is essential for the stakeholder (rating: 20 for Tier 1, 10 for Tier 2, 5 for Tier 3)
Med The field is important for the stakeholder (rating: 10 for Tier 1, 5 for Tier 2, 2 for Tier 3)
Low The field is convenient for the stakeholder, but its absence will not hamper operations (rating: 5 for Tier 1, 2 for Tier 2, 1 for Tier 3)
? Priority unknown.
-- Not needed by the stakeholder (rating: 0)

Field Score SW Cust Devel Scan Vend Scan Cust Educ SATE IEC Formal Web Code Std Academic App Research RVI CWE
Name 170 High High High High High High High High High High High High High High
Description 170 High High High High High High High High High High High High High High
Applicable_Platforms 101 Med High Med High High Med Med Med Med High Low -- -- Low
Time_of_Introduction 92 Med High High High Med Med Med -- -- Med -- -- -- Low
Demonstrative_Examples 91 -- High Med Med High -- Med Med Med Med Med Low Low High
Detection_Factors 87 Low High High High -- High -- Med Med -- -- Med -- --
Likelihood_of_Exploit 80 -- High Med High High Med -- -- High Med Low Med -- --
Relationships 79 -- Med Med Med Low High Low Med Med Med Low Low Low High
Common_Consequences 79 High Med Med High Med Med -- -- Med Low Low -- Med --
References 77 -- High Med High Med -- -- -- Med Med Low Med Med Med
Potential_Mitigations 76 -- High Med High High -- Low -- Med Low -- Med Low Low
Observed_Examples 66 -- Med Med Med Med Med Low Med Med Low Med Low -- Med
Terminology_Notes 65 -- -- Med Med Med Med -- Low Med Med Med Med Med High
Alternate_Terms 65 -- -- Med Med Med Med -- Low Med Med Med Med Med High
Status 52 -- Low Med Med Low Med -- -- -- -- -- -- -- High
Related_Attack_Patterns 51 Med Med Low Med Med -- -- -- Med Low Med Med Low --
Relationship_Notes 47 -- Med -- Med Low Med Low Low Med -- Low -- -- Med
Taxonomy_Mappings 47 -- -- Low Med Low Low -- Low Low Med Low -- Low High
Content_History 44 -- -- Med Low Low Low -- Med -- -- -- -- -- High
Maintenance_Notes 43 -- -- Med Low -- Med -- Low -- -- Low -- -- High
Modes_of_Introduction 39 -- High -- Low Med -- -- -- Low Low Low -- -- Low
Affected_Resources 34 -- Low Low Low Low Low Low Low Low Low Low Med -- Low
Functional_Areas 33 -- -- Low Low Low Low Low Med Low Med Low Med -- Low
Research_Gaps 33 Low -- -- -- Low Low Low Low Low Low High Med -- Med
Background_Details 26 -- Med -- Med Med -- -- -- -- -- -- -- Low --
Theoretical_Notes 22 -- -- -- -- -- Low -- Med Low -- Med Low -- Med
Weakness_Ordinalities 21 -- -- Low Low -- Low Low -- -- Low -- Low -- Low
White_Box_Definitions 21 -- -- Med Low -- Low -- ?? -- Low Med Low -- --
Enabling_Factors_for_Exploitation 15 -- Med -- -- Med -- -- -- -- -- -- -- -- --
Other_Notes 10 -- -- -- -- -- -- -- -- -- -- -- -- -- Med
Relevant_Properties 5 -- -- -- -- -- -- -- -- -- -- -- -- -- Low

More information is available — Please select a different filter.
Page Last Updated: January 05, 2017