想要知道哪些安全漏洞是最紧急的吗?快来查看最新的CWE Top 25!
最近几年,CWE Top 25进行了首次更新。此更新包括一种新方法,可以客观地确定哪些CWE最常见和最危险。此更新使CWE与不断变化的应用程序安全性保持一致,并牢记当今实际应用程序中出现的实际问题。此更新还包括对CWE的“On the Cusp”列表的更改,从本质上将前25名扩展到前40名。
常见弱点枚举(CWE):最常见的网络安全弱点列表
CWE或常见弱点枚举是社区支持的最常见的网络安全弱点列表。它考虑了各种各样的危险软件问题,实际上,其中有800多个问题,从诸如缓冲区溢出之类的内存问题到诸如SQL注入(SQLI)之类的污染数据问题。它可能以其CWE前25名名单(最安全的编码标准)而闻名。
安全弱点如何分类
关于CWE的弱点列表,有趣的是,它们与真实软件系统中发生的真实问题相关。当网络安全中发生坏事时,例如数据泄露,路由器被黑客入侵或安全摄像机易受攻击,国家漏洞数据库或NVD中都会有一条记录。(好吧,并非所有内容都以NVD结尾-但也许应该如此。)每个条目都用一个唯一的编号(称为CVE或“通用漏洞枚举”)进行标识,并分配有一个称为CVSS的NVD分数,这是通用漏洞评分系统说明安全问题有多危险。
此CVE以一种可用于比较其他产品和软件中类似问题的方式描述了安全问题。当家庭安全摄像机和办公室路由器出现问题时,可以识别出根本问题是相同的。可能的问题是加密强度较弱,或者其中已编程了默认密码。因此,CVE帮助我们以“苹果对苹果”和“橘子对橙色”的方式讨论安全性问题,以便我们更好地理解,计划和响应。
最终,每个CVE都填充有与代码中的根源漏洞相关联的CWE ID,这些漏洞导致CVE中的安全性问题,例如,路由器中发现的漏洞,在某个时候,调查导致识别出负责的代码。根据软件漏洞(例如,漏洞利用的未经检查的输入字符串)描述了根本原因。
现在已经走了很长一段路,首字母缩略词太多了,但这基本上意味着您确实可以将已发布的安全问题与潜在的软件弱点相关联。最终,作为开发人员,您可以避免现实世界中实际应用程序和设备所发生的问题。
更新:更改为CWE前25名
在2019年初,他们添加了与质量和可靠性有关的新CWE。随着时间的流逝,这将增加。目前,这些限制主要限于安全漏洞。既然有这么多,那么您从哪里开始呢?CWE包含前25名列表,以帮助确定软件中最关键、最可能和最有影响力的安全漏洞。但是,前25名是一个起点。对于已经在检查这些弱点的团队,他们应该继续在列表中列出。但是,如果您尚未执行任何操作,那么这是一个很好的起点。
CWE Top 25一直保持相对静态,直到2019年末。在2019年,我们自2011年以来首次对CWE进行了更新。整个CWE定期进行更新,但是Top 25并没有更新至少到目前为止。
如何选择最危险的问题
此新列表不仅基于NVD,而且还基于大型组织内部发现的存在实际问题的大型组织,这些组织存在未公开或未包含在NVD中的问题。这是方法的变化,因为它考虑了许多不同的数据源,并且还基于行业观点增加了一些主观性。
最新更新有趣的是一种更客观的方法。当然,不利的一面是,由于我们无权访问用于生成新列表的私有数据,因此我们可能已经失去了一些东西。优点是,我们从国家漏洞数据库中表示的所有报告的漏洞中知道CWE Top 25代表什么——“最常见漏洞的真实列表和顺序”。
将CWE排在前25名中是有意义的——根据CVSS得分,存在相对危险等级。例如,位置明确的CWE危险性不及第一名,尽管很明显。所有的弱点都应该被认为是危险的,它们都是坏的,而最终目标是修复它们。
很多人不知道的关于CWE Top 25的另一个有趣的事情是,有一个叫做On the Cusp的东西。这些是几乎跻身前25名的CWE,我喜欢称其为荣誉奖,也可能是不光彩的奖。完成根除前25名的操作后,转到On the Cusp。接下来的那件事很重要。
如果您想从哪里开始,那么无论您使用哪种应用程序,CWE Top 25都是一个很好的起点。如果您即将消除软件中的前25个弱点,请查看“On the Cusp”规则。美国保险商实验室UL 2900引用了CWE的前25个弱点,该实验室是针对连接设备的网络安全认证。接下来的另一个好地方。对于Web应用程序,请查看OWASP和OWASP Top 10。
如果您是Parasoft客户或静态分析工具用户,并且不了解CWE Top 25更新,那么现在是查看工具配置的好时机。请确保您涵盖了最新的CWE列表,因为这实际上是软件安全漏洞中的最新技术。
将来,随时关注标准并合并随着时间的变化是有意义的。对于工具供应商来说,遵守最新的CWE也很重要。由于您在某种程度上依赖它们,因此他们会成为根据新规则进行支持和报告的专家。随着安全开发的进行,请确保您的工具支持On the Cusp规则,因为安全漏洞在25处并没有硬停。
要了解有关Parasoft的CWE解决方案的更多信息,请!