CWE-1357 类漏洞列表 4

CWE：CWE-1357 依赖不可靠组件 英文：产品由多个独立组件构建而成，但使用了不足以在安全性、可靠性、可更新性和可维护性方面满足预期的组件。 许多现代硬件和软件产品是通过在设计和架构阶段将多个较小的组件组合成一个更大的实体而构建的。例如，硬件组件可能由单独的供应商构建，或者产品可能使用来自第三方的开源软件库。无论来源如何，每个组件都应得到充分信任，以确保产品的正确和安全运行。如果组件不可靠，可能会为整个产品带来重大风险，例如无法及时修补（甚至根本无法修补）漏洞；隐藏的功能，如恶意软件；在出于安全目的需要时无法更新或替换组件；由不符合规格要求的部件构建的硬件组件，可能导致弱点；等等。请注意，即使组件由产品供应商拥有，也可能不可靠，例如源代码丢失且由已离职开发人员构建的软件组件，或者由另一家公司开发并被收购并纳入产品所在公司的组件。请注意，对于组件是否足够可靠可能存在分歧，因为信任最终是主观的。不同的利益相关者（例如，客户、供应商、政府）具有不同的威胁模型和评估信任的方式，设计和架构选择可能会在安全性、可靠性、安全性、隐私、成本和其他特性之间进行权衡。