通用缺陷列表(Common Weakness Enumeration, CWE)是一个对软件脆弱性和易受攻击性的一个分类系统。它由一个的开源社区工程维持,该社区有理解软件中的瑕疵并创作对自动化工具去识别、修复并防止这些瑕疵的愿景。该工程由下属于Mitre集团公司(英语:Mitre Corporation)的美国联邦基金研究发展中心-国家网络安全小组(英语:National Cybersecurity FFRDC)资助,并得到了来自美国国家网络应急中心(英语:United States Computer Emergency Readiness Team)和美国国土安全部的国家网络安全办公室(英语:国家网络安全办公室)的支持。通用缺陷列表标准3.2版本在2019年1月发布。通用缺陷列表有超过600个的分类,包括缓冲溢出,路径索引遍历树错误,竞争状态条件,跨站脚本,硬编码密码以及不安全随机数等。
通用缺陷列表分类-121 是基于栈的缓冲溢出定义。
通用缺陷列表兼容性项目允许一个服务或产品被审核并被官方地注册为“通用缺陷列表兼容的”和“通用缺陷列表有效的”。该项目协助组织选择正确的软件工具并了解到可能的脆弱性和它的影响。为了获得通用缺陷列表兼容的状态,一个产品或者一个服务必须满足下列6项中的4项要求:
截止2018年1月,一共有48家组织开发并维护达到通用缺陷列表兼容性的产品和服务。
一些研究者认为通用缺陷列表中模棱两可的部分可以被避免或减少。
