行业新闻与博客

 解决问题的非营利组织 MITER Corporation 在八年前发布  了世界上最危险的软件错误列表。昨天看到了人们期待已久的网络犯罪最想要的那种破旧标签组的更新版本。

通用弱点枚举（CWE）排名前 25 位的最危险软件错误列表（CWE 排名前 25 位）  是对可能导致软件严重漏洞的最广泛，最严重的漏洞的概述。

使这些坏男孩如此致命的原因是，它们常常容易被发现和利用。一旦攻击者抓住了错误的根源，他们通常就能完全接管软件的执行，窃取数据或阻止软件运行。

每个错误都会得到一个威胁评分，以传达其普遍程度和所带来的危险。以 75.56 的威胁评分居首位，并以极大的优势领先于叛逆者，这是“对内存缓冲区范围内操作的不当限制”。

第二大致命错误被确定为“网页生成过程中输入的不适当中和”，也称为跨站点脚本，威胁评分为 45.69。 

2011 年，采用了基于对行业专家的访谈和调查的主观方法来创建列表。在 2019 年，列表的编译器采用了数据驱动的方法，利用了 2017年和 2018年的国家漏洞数据库（NVD）数据，其中包括大约 25,000 个 CVE。 

MITRE 的目标是根据特定年份的数据每年发布更新的列表。当被问及为什么前两个清单之间的差距如此之长时，MITRE 的一位发言人回答说：“根据 2011 年 CWE 前 25 名清单所采用的先前方法，很显然，没有可靠的依据来更改清单。 

“随着新方法的探索，并选择了当前的数据驱动方法，产生一个新列表变得很有价值，因为它可以验证新数据驱动方法是否会产生不同的列表。而且，由于它可以确实产生了不同的清单，社区利益相关者现在有一个新的清单可供使用，该清单是基于证据的，与 2011 年清单有所不同。”

名单确实有所不同，但都包括一些相同的罪犯。发言人解释了原因。他说：“社区仍在开展重要工作，以教育开发人员，改进分析工具，并使软件产品的消费者了解存在的弱点，并且他们在评估产品和选择这些产品方面具有最终的杠杆作用。故意解决弱点。 

“只有大量的利益相关者都要求有效的安全才能存在。2019 年 CWE 前 25 名名单是不同利益相关者可以用来了解最普遍的弱点以及如何针对自身进行防御的工具。”

非常感谢您对亚洲注册的支持与信任！

禁止转载