智能手机游戏、个人电子邮件账户、跨国银行业务、医疗记录……软件无处不在。软件娱乐大众,提升效率,甚至能拯救生命。但不幸的是,每个新开发出来的程序,总有黑客准备破坏和利用之。所以,软件设计师、开发人员和安全专家需要及时获知潜在漏洞的信息,防止自身计算机系统遭受重大破坏。
25 个最危险软件错误通用缺陷列表 (CWE) 列出了可致严重软件漏洞的最普遍、最关键错误。美国国土安全部 (DHS) 科学与技术局 (S&T) 辖下由 MITRE 运营的国土安全系统工程与开发研究所 (HSSEDI) 近期更新了 Top 25 CWE 列表——八年来首次更新。
S&T 联邦政府资助的研究与开发中心管理 HSSEDI,其总监 Scott Randels 称:该列表是改善安全环境的重要工具。我为与 HSSEDI 的持续合作和该产品的巨大缓解潜力而感到激动。
HSSEDI 为解决诸多重要领域的国土安全需求,如信息技术、通信和网络安全等,提供独立客观的专业知识。
2019 CWE 列表除了是有用指南文档,也是重要的概念验证。2011年,分析师通过对行业专家进行个人访问和问卷调查的主观方式编写了该列表。尽管这是当时生成该 Top 25 列表的有效方式,网络安全却需要不断的更新与发展。这一次,分析师采用了数据驱动的方法,基于安全研究人员报告的现实世界漏洞。
CWE 项目主管 Chris Levendis 称:我们转向了数据驱动的方法,因为该方法能够产生持续而可重复的分析,反映我们在现实世界中看到的问题。在迈向未来的路上,我们将持续完善该方法学。
CWE 团队由美国国土安全部网络安全与基础设施安全局 (CISA) 网络安全部门支持,利用过去两年间的约 2.5 万个通用漏洞与暴露 (CVE)。通用漏洞与暴露数据由全球志愿者提交,这些志愿者致力于网络安全,展现了成熟的漏洞管理操作。
CVE 数据发布在美国国家漏洞数据库 (NVD) 中,该数据库是美国国家标准与技术研究所信息技术实验室的产品,同样由 CISA 网络安全部门支持。CISA 要求 HSSEDI 担负起更新该列表的重要任务。
用于确定最危险软件错误 Top 25 的排名系统基于考虑了流行度与严重性的一个公式。既常见又可导致重大损害的缺陷就会得到高分,几乎不会被利用或者影响比较小的问题则会被排除。
因此,2019 列表指出了一种新的顶级缺陷:“内存缓冲区边界内操作的不当限制”。之前的顶级缺陷,“SQL 指令内所用特殊元素的不当中和(SQL 注入)”,则跌到第六的位置。
尽管 “SQL 注入” 这种术语可能很多人都不熟悉,大多数美国人的日常生活却非常依赖软件。个人计算设备和公司企业对于软件的普遍使用,使 CWE Top 25 列表成为了增强网络系统弹性的重要资源。
Levendis 表示:在软件进入市场前清除缺陷,是减小攻击界面的重要步骤,可以更好地保护普罗大众。
2019 CWE Top25 列表:
https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html