想要知道哪些安全漏洞是最緊急的嗎？快來(lái)查看最新的CWE Top 25！

---

最近幾年，CWE Top 25進(jìn)行了首次更新。此更新包括一種新方法，可以客觀地確定哪些CWE最常見(jiàn)和最危險(xiǎn)。此更新使CWE與不斷變化的應(yīng)用程序安全性保持一致，并牢記當(dāng)今實(shí)際應(yīng)用程序中出現(xiàn)的實(shí)際問(wèn)題。此更新還包括對(duì)CWE的“On the Cusp”列表的更改，從本質(zhì)上將前25名擴(kuò)展到前40名。

常見(jiàn)弱點(diǎn)枚舉（CWE）：最常見(jiàn)的網(wǎng)絡(luò)安全弱點(diǎn)列表

CWE或常見(jiàn)弱點(diǎn)枚舉是社區(qū)支持的最常見(jiàn)的網(wǎng)絡(luò)安全弱點(diǎn)列表。它考慮了各種各樣的危險(xiǎn)軟件問(wèn)題，實(shí)際上，其中有800多個(gè)問(wèn)題，從諸如緩沖區(qū)溢出之類的內(nèi)存問(wèn)題到諸如SQL注入（SQLI）之類的污染數(shù)據(jù)問(wèn)題。它可能以其CWE前25名名單（最安全的編碼標(biāo)準(zhǔn)）而聞名。

安全弱點(diǎn)如何分類

關(guān)于CWE的弱點(diǎn)列表，有趣的是，它們與真實(shí)軟件系統(tǒng)中發(fā)生的真實(shí)問(wèn)題相關(guān)。當(dāng)網(wǎng)絡(luò)安全中發(fā)生壞事時(shí)，例如數(shù)據(jù)泄露，路由器被黑客入侵或安全攝像機(jī)易受攻擊，國(guó)家漏洞數(shù)據(jù)庫(kù)或NVD中都會(huì)有一條記錄。（好吧，并非所有內(nèi)容都以NVD結(jié)尾-但也許應(yīng)該如此。）每個(gè)條目都用一個(gè)唯一的編號(hào)（稱為CVE或“通用漏洞枚舉”）進(jìn)行標(biāo)識(shí)，并分配有一個(gè)稱為CVSS的NVD分?jǐn)?shù)，這是通用漏洞評(píng)分系統(tǒng)說(shuō)明安全問(wèn)題有多危險(xiǎn)。

此CVE以一種可用于比較其他產(chǎn)品和軟件中類似問(wèn)題的方式描述了安全問(wèn)題。當(dāng)家庭安全攝像機(jī)和辦公室路由器出現(xiàn)問(wèn)題時(shí)，可以識(shí)別出根本問(wèn)題是相同的。可能的問(wèn)題是加密強(qiáng)度較弱，或者其中已編程了默認(rèn)密碼。因此，CVE幫助我們以“蘋果對(duì)蘋果”和“橘子對(duì)橙色”的方式討論安全性問(wèn)題，以便我們更好地理解，計(jì)劃和響應(yīng)。

最終，每個(gè)CVE都填充有與代碼中的根源漏洞相關(guān)聯(lián)的CWE ID，這些漏洞導(dǎo)致CVE中的安全性問(wèn)題，例如，路由器中發(fā)現(xiàn)的漏洞，在某個(gè)時(shí)候，調(diào)查導(dǎo)致識(shí)別出負(fù)責(zé)的代碼。根據(jù)軟件漏洞（例如，漏洞利用的未經(jīng)檢查的輸入字符串）描述了根本原因。

現(xiàn)在已經(jīng)走了很長(zhǎng)一段路，首字母縮略詞太多了，但這基本上意味著您確實(shí)可以將已發(fā)布的安全問(wèn)題與潛在的軟件弱點(diǎn)相關(guān)聯(lián)。最終，作為開(kāi)發(fā)人員，您可以避免現(xiàn)實(shí)世界中實(shí)際應(yīng)用程序和設(shè)備所發(fā)生的問(wèn)題。

更新：更改為CWE前25名

在2019年初，他們添加了與質(zhì)量和可靠性有關(guān)的新CWE。隨著時(shí)間的流逝，這將增加。目前，這些限制主要限于安全漏洞。既然有這么多，那么您從哪里開(kāi)始呢？CWE包含前25名列表，以幫助確定軟件中最關(guān)鍵、最可能和最有影響力的安全漏洞。但是，前25名是一個(gè)起點(diǎn)。對(duì)于已經(jīng)在檢查這些弱點(diǎn)的團(tuán)隊(duì)，他們應(yīng)該繼續(xù)在列表中列出。但是，如果您尚未執(zhí)行任何操作，那么這是一個(gè)很好的起點(diǎn)。

CWE Top 25一直保持相對(duì)靜態(tài)，直到2019年末。在2019年，我們自2011年以來(lái)首次對(duì)CWE進(jìn)行了更新。整個(gè)CWE定期進(jìn)行更新，但是Top 25并沒(méi)有更新至少到目前為止。

如何選擇最危險(xiǎn)的問(wèn)題

此新列表不僅基于NVD，而且還基于大型組織內(nèi)部發(fā)現(xiàn)的存在實(shí)際問(wèn)題的大型組織，這些組織存在未公開(kāi)或未包含在NVD中的問(wèn)題。這是方法的變化，因?yàn)樗紤]了許多不同的數(shù)據(jù)源，并且還基于行業(yè)觀點(diǎn)增加了一些主觀性。

最新更新有趣的是一種更客觀的方法。當(dāng)然，不利的一面是，由于我們無(wú)權(quán)訪問(wèn)用于生成新列表的私有數(shù)據(jù)，因此我們可能已經(jīng)失去了一些東西。優(yōu)點(diǎn)是，我們從國(guó)家漏洞數(shù)據(jù)庫(kù)中表示的所有報(bào)告的漏洞中知道CWE Top 25代表什么——“最常見(jiàn)漏洞的真實(shí)列表和順序”。

將CWE排在前25名中是有意義的——根據(jù)CVSS得分，存在相對(duì)危險(xiǎn)等級(jí)。例如，位置明確的CWE危險(xiǎn)性不及第一名，盡管很明顯。所有的弱點(diǎn)都應(yīng)該被認(rèn)為是危險(xiǎn)的，它們都是壞的，而最終目標(biāo)是修復(fù)它們。

很多人不知道的關(guān)于CWE Top 25的另一個(gè)有趣的事情是，有一個(gè)叫做On the Cusp的東西。這些是幾乎躋身前25名的CWE，我喜歡稱其為榮譽(yù)獎(jiǎng)，也可能是不光彩的獎(jiǎng)。完成根除前25名的操作后，轉(zhuǎn)到On the Cusp。接下來(lái)的那件事很重要。

如果您想從哪里開(kāi)始，那么無(wú)論您使用哪種應(yīng)用程序，CWE Top 25都是一個(gè)很好的起點(diǎn)。如果您即將消除軟件中的前25個(gè)弱點(diǎn)，請(qǐng)查看“On the Cusp”規(guī)則。美國(guó)保險(xiǎn)商實(shí)驗(yàn)室UL 2900引用了CWE的前25個(gè)弱點(diǎn)，該實(shí)驗(yàn)室是針對(duì)連接設(shè)備的網(wǎng)絡(luò)安全認(rèn)證。接下來(lái)的另一個(gè)好地方。對(duì)于Web應(yīng)用程序，請(qǐng)查看OWASP和OWASP Top 10。

如果您是Parasoft客戶或靜態(tài)分析工具用戶，并且不了解CWE Top 25更新，那么現(xiàn)在是查看工具配置的好時(shí)機(jī)。請(qǐng)確保您涵蓋了最新的CWE列表，因?yàn)檫@實(shí)際上是軟件安全漏洞中的最新技術(shù)。

將來(lái)，隨時(shí)關(guān)注標(biāo)準(zhǔn)并合并隨著時(shí)間的變化是有意義的。對(duì)于工具供應(yīng)商來(lái)說(shuō)，遵守最新的CWE也很重要。由于您在某種程度上依賴它們，因此他們會(huì)成為根據(jù)新規(guī)則進(jìn)行支持和報(bào)告的專家。隨著安全開(kāi)發(fā)的進(jìn)行，請(qǐng)確保您的工具支持On the Cusp規(guī)則，因?yàn)榘踩┒丛?5處并沒(méi)有硬停。

要了解有關(guān)Parasoft的CWE解決方案的更多信息，請(qǐng)聯(lián)系在線客服！