最危險軟件錯誤 Top25
責編:gltian |2019-12-10 13:57:55智能手機游戲、個人電子郵件賬戶、跨國銀行業務、醫療記錄……軟件無處不在。軟件娛樂大眾,提升效率,甚至能拯救生命。但不幸的是,每個新開發出來的程序,總有黑客準備破壞和利用之。所以,軟件設計師、開發人員和安全專家需要及時獲知潛在漏洞的信息,防止自身計算機系統遭受重大破壞。
25 個最危險軟件錯誤通用缺陷列表 (CWE) 列出了可致嚴重軟件漏洞的最普遍、最關鍵錯誤。美國國土安全部 (DHS) 科學與技術局 (S&T) 轄下由 MITRE 運營的國土安全系統工程與開發研究所 (HSSEDI) 近期更新了 Top 25 CWE 列表——八年來首次更新。
S&T 聯邦政府資助的研究與開發中心管理 HSSEDI,其總監 Scott Randels 稱:該列表是改善安全環境的重要工具。我為與 HSSEDI 的持續合作和該產品的巨大緩解潛力而感到激動。
HSSEDI 為解決諸多重要領域的國土安全需求,如信息技術、通信和網絡安全等,提供獨立客觀的專業知識。
2019 CWE 列表除了是有用指南文檔,也是重要的概念驗證。2011年,分析師通過對行業專家進行個人訪問和問卷調查的主觀方式編寫了該列表。盡管這是當時生成該 Top 25 列表的有效方式,網絡安全卻需要不斷的更新與發展。這一次,分析師采用了數據驅動的方法,基于安全研究人員報告的現實世界漏洞。
CWE 項目主管 Chris Levendis 稱:我們轉向了數據驅動的方法,因為該方法能夠產生持續而可重復的分析,反映我們在現實世界中看到的問題。在邁向未來的路上,我們將持續完善該方法學。
CWE 團隊由美國國土安全部網絡安全與基礎設施安全局 (CISA) 網絡安全部門支持,利用過去兩年間的約 2.5 萬個通用漏洞與暴露 (CVE)。通用漏洞與暴露數據由全球志愿者提交,這些志愿者致力于網絡安全,展現了成熟的漏洞管理操作。
CVE 數據發布在美國國家漏洞數據庫 (NVD) 中,該數據庫是美國國家標準與技術研究所信息技術實驗室的產品,同樣由 CISA 網絡安全部門支持。CISA 要求 HSSEDI 擔負起更新該列表的重要任務。
用于確定最危險軟件錯誤 Top 25 的排名系統基于考慮了流行度與嚴重性的一個公式。既常見又可導致重大損害的缺陷就會得到高分,幾乎不會被利用或者影響比較小的問題則會被排除。
因此,2019 列表指出了一種新的頂級缺陷:“內存緩沖區邊界內操作的不當限制”。之前的頂級缺陷,“SQL 指令內所用特殊元素的不當中和(SQL 注入)”,則跌到第六的位置。
盡管 “SQL 注入” 這種術語可能很多人都不熟悉,大多數美國人的日常生活卻非常依賴軟件。個人計算設備和公司企業對于軟件的普遍使用,使 CWE Top 25 列表成為了增強網絡系統彈性的重要資源。
Levendis 表示:在軟件進入市場前清除缺陷,是減小攻擊界面的重要步驟,可以更好地保護普羅大眾。
2019 CWE Top25 列表:
https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html