CWE发布的2021年25条最危险软件错误

已于 2022-04-25 16:52:08 修改
阅读量4.7k 收藏 2
点赞数
文章标签: 安全 综合资源 经验分享
于 2022-04-22 16:22:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50579386/article/details/124344915
版权

2021年25条最危险的软件错误

(源自CWE官网)

世界权威软件安全漏洞模式库CWE —— 让安全“可测量”

一、    CWE是什么

       研究源代码缺陷的人都听说过CWE,是在源代码缺陷定义方面受到广泛认可的研究组织。

      作为目前最权威的源代码缺陷研究项目,CWE的成果已被越来越多专业人员认可,逐渐成为衡量源代码缺陷检测产品检测能力的重要衡量标准。

CWE(Common Weakness Enumeration通用缺陷枚举)

—— 由美国国土安全部国家计算机安全部门资助的软件安全战略性项目

      CWE由MITRE维护,MITRE同时维护的项目还有Common Attack Pattern Enumeration and Classification (CAPEC™)(常见的攻击模式列表和分类)、CVE (Common Vulnerabilities and Exposure)(信息安全漏洞词典)、CCE(Common Configuration Enumeration (CCE™))(常见的配置列表)等其他项目。

二、    CWE's 发展史

      成立于2006年,CWE建立之初分别借鉴了来自CVE(“Common Vulnerabilities & Exposures”公共漏洞和暴露),CLASP(Comprehensive Lightweight Application Security Process,全面轻量级应用安全过程)等组织对缺陷概念描述缺陷分类

      除此之外,还参考了一些工程的缺陷描述信息:

  1.  Seven Pernicious Kingdoms:A Taxonomy of Software Security Errors;
  2.  The CLASP Application Security Process(Comprehensive, Lightweight Application Security  Process);
  3.  The Preliminary List of Vulnerability Examples for Researchers (PLOVER)等。

      随着CWE组织的发展更多的研究机构、企业和个人将自身对软件源代码缺陷研究的成果透过CWE分享。鉴于CWE对源代码缺陷描述的准确性和权威性,越来越多的源代码缺陷检测厂家,在产品和服务中引用CWE中的相关信息。

        CWE先后推出了CWSS(Common Weakness Scoring System)和CWRAF(Common Weakness Risk Analysis Framework)工程研究。

 

 

      CWSS主要研究的是对源代码缺陷产生危害的不同等级划分,目前属于研究初期,研究报告发布于2011年。报告中称:跨站脚本攻击、SQL注入、缓冲区溢出、跨站伪造请求和信息泄漏等是危害级别最高的缺陷。

     CWRAF是组织综合源代码缺陷描述、CWSS评分研究结合行业业务实际推出的源代码缺陷风险评估工程。

三、    CWE兼容性计划

      CWE组织推出的“CWE兼容性计划”分别在产品的输出、对已知缺陷检测能力、检测结果输出、CWE信息是否可查等几方面,衡量产品或服务对CWE缺陷研究的支持情况。

   

  “CWE兼容”重要性

      “CWE兼容”是软件安全类产品重要的标准之一,产品或服务与“CWE”兼容,意味着工具、网站、数据库或者服务使用CWE名称,用户可通过产品搜索到相关的CWE信息,同时厂商和相关的安全机构也会向CWE提供关于漏洞研究方面的相关资料。

      “CWE兼容”以作为产品的重要等级标志被用户和管理人员所认可。

      从2006年截止到目前,已有56家公司、机构,60多项产品或服务加入了CWE组织。目前在国内北大软件泛联新安、鸿渐科技等网络安全厂商相关检测工具陆续在近些年通过认证。

 

 。。。


      目前,CWE与SANS组织每年会推出最危险的软件错误前25条的报告,提示并帮助开发人员降低源代码缺陷带来的开发风险。

2021年25条最危险的软件错误

        近日,泛联新安SCA、SAST两款产品同时通过CWE认证。

        CodeSense和BinSearch是泛联新安拥有完全自主知识产权的两款产品,在此之前,已通过麒麟软件NeoCertify认证。

 CodeSense新一代软件源代码缺陷深度分析平台

       CodeSense是结合清华大学、国防科技大学、中科院等专家团队对代码静态分析技术的深度理论研究,经过长期软件工程实践研发成功。支持近20种编程语言,可测混合工程;支持RESTFUL API,可以与多种开发框架集成;除了支持主流windows/Linux操作系统,还可以在多种国产操作平台部署;超高的自由度,支持多种部署方式,支持多种格式报告一键生成,支持检测模板自定义,报告格式自定义等;更为重要的是完全自主可控,无惧信息泄露。

CodeSense采用业界先进的值流图分析技术,能够实现跨程序/跨文件的上下文敏感分析与对象敏感分析,精准的检测软件安全漏洞与质量缺陷,结合独有的智慧减负与黑白名单技术,协助安全部门或研发团队为软件的安全与质量保驾护航。

 

BinSearch二进制代码大规模同源分析平台

      BinSearch是一款基于逆向分析、分布式计算、大数据与机器学习的二进制代码大规模同源分析平台,具有自主知识产权。通过对软件代码结构、常量字符串、函数代码、函数控制流图、函数调用关系等各种粗细粒度特征数据结合,比对分析出二进制代码成分以及各代码之间成分的相似性和同源性,并自动报告代码漏洞、信息泄露隐患、植入恶意代码、代码侵权等安全隐患。

      BinSearch能够精准分析识别代码组成成分和引用第三方组件、了解引用开源代码许可合规性、检测代码安全漏洞、分析植入恶意代码,BinSearch支持PE、ELF、安装包、二进制压缩包等多种二进制文件类型的分析;支持X86、X64、ARM等多种指令集二进制代码分析;超100W的组件版本数据库;ATP库支持2W恶意代码样本;支持多种格式报告一键生成导出。

欧拉定理公式
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CWE发布2021危险25软件缺陷
华为云官方博客
07-27 3151
摘要:CWE危险25软件缺陷,是NVD过去两中遇到的最常见和影响最大的问题指示性的列表。 CWE Top25 可以帮助开发人员、测试人员和用户,以及项目经理、安全研究人员和教育工作者深入了解最严重和当前的安全漏洞。
cwe_checker初识别
无痕的博客
07-06 1594
cwe_checker:检测常见错误类的检查,主要目标是帮助分析师快速找到潜在的易受攻击的代码路径
网安术语简述( CVSS、EPSS 、CVE、CWE、CPE、APT、NVD、CNNVD、CNVD)
最新发布
weixin_57405945的博客
05-21 547
CVSS(通用漏洞评分系统),用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。 EPSS (利用预测评分系统),是为了测量特定的漏洞在野外被利用的可能性。 CVE (通用漏洞和曝光),是一个公开的数据库,用于记录和识别已知的计算机安全漏洞、软件缺陷或安全风险。每个CVE目都有一个唯一的标识符,用于引用特定的安全问题。 CWE ( 通用弱点枚举),为软件安全弱点提供了一个分类和命名系统,旨在通过对所有已识别的缺陷和暴露进行分类,帮助组织更好地解决漏洞。 CPE (通用平台枚举),是一个标
【文献翻译】基于图的配置安全的漏洞度量
Mrong1013967的博客
08-27 579
关键词:配置安全、漏洞分析、漏洞图、度量。 摘要:漏洞分析长期以来被用于评估系统的安全态势,漏洞图已成为建模潜在多步骤攻击和评估系统攻击面的重要工具。最近,漏洞图已被采用作为配置分析和优化的多方面方法的一部分,该方法旨在利用复杂系统的组件、配置参数和漏洞之间的关系,在保持功能的同时提高其安全性。然而,这种方法仍然缺乏可靠的度量来量化所建模系统的几个重要方面。为了解决这一局限性,我们引入了一些指标,以实现基于图形的配置分析和优化的实际有效应用。具体而言,我们定义了评估(i)漏洞被利用的可能性,(ii)漏洞图
剖析CWE视图的层次定义和解析方式
华为云官方博客
01-25 1264
摘要:CWE做为软件缺陷分类的重要标准, 对安全研究、安全标准、缺陷管理起了重要的纽带作用。CWE通过编号的类型(类缺陷、基础缺陷和变种缺陷等)形成了多层次的缺陷类型划分体系。本文进一步剖析了CWE视图的层次之间的定义和解析方式。
2023最具威胁的25安全漏洞(CWE TOP 25)
hwxiaozhi的博客
07-14 994
CWE的工作者们已经意识到CWE与缺陷的映射时出现的重叠或CWE之间存在模糊的交集,会给缺陷分类带来很多的困惑,最最近的几个版本中,正试图通过增加节点以及映射说明,逐步的修正这个问题。)中的公共漏洞数据来计算的,以获取前两个日历 CWE 弱点的根本原因映射。最近几,每6月CWE发布的版本都成为一中最重要的版本,因为里面包含了新的CWE TOP 25 视图,也就是我们常说的:CWE最具威胁的25种缺陷。这个节点信息的增加,将为我们在CWE与缺陷映射时,提供极大的帮助,以提高映射的准确性。
行业认证标准:CWE Top 25危险的编程、软件错误
Pokemogo的博客
11-26 1093
什么是CWETop 25CWE(常见弱点枚举)列出了800多种编程错误、设计错误和体系结构错误,这些错误可能导致可利用的漏洞,而不只是前25名。CWE/SANS前25名最危险软件错误是一个简短列表。可能导致严重软件漏洞的最广泛、最严重的错误,通常很容易发现和利用。这些是最危险的弱点,因为它们使攻击者能够完全控制软件,窃取软件数据和信息或完全阻止软件运行。 通过静态分析加强CWE合规性 Parasoft已通过CWE兼容认证,这意味着Parasoft用户可以在配置,修复和报告过程中轻松了解哪个静态.
2021开源软件供应链安全风险研究报告.pdf
08-17
2021 开源软件供应链安全风险研究报告 本报告对 2021 开源软件供应链安全风险进行了深入研究和分析,旨在帮助读者了解开源软件供应链安全风险的现状、趋势和解决方案。本文将从开源软件漏洞发展现状、开源组件...
cwe_latest 2021 common weakness enumeration.pdf
03-24
CWE Latest 2021 Common Weakness Enumeration》是美国国土安全部国家网络安全分部赞助的软件保障战略项目,由MITRE公司于2021发布CWE(Common Weakness Enumeration)是一个公开的、社区驱动的弱点分类体系,...
2011cwe与sans的top25威胁翻译.docx
06-11
【2011CWE/SANS Top 25威胁翻译】文档主要聚焦于软件开发中最常见且最具破坏性的25错误。这些错误可能导致严重的软件漏洞,使攻击者能够完全控制软件,窃取敏感数据,或者干扰软件的正常运行。这份列表旨在教育...
CWE TOP 25 和 OSWAP TOP 10
03-11
包括简介,危害,解决方法,不用怕被查,都是我自己从他们的网站自己翻译的
MITRE 发布2022 CWE Top 25 榜单
smellycat000的专栏
06-29 1005
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士MITRE 发布2022CWE Top 25危险软件弱点榜单。该榜单发布了当前最常见和最具影响力的软件弱点。这些弱点易于发现和利用,可导致攻击者完全接管系统、窃取数据或阻止应用运作。如下是2022 CWE Top 25 榜单,包括每个漏洞的总分。KEV 数量 (CVEs) 指的是CISA KEV 清单上 CVE...
「 网络安全常用术语解读 」通用缺陷枚举CWE详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
02-26 7319
Common Weakness Enumeration,简称CWE,它是由MITRE公司维护的一个开放的、可扩展的通用语言,用于描述软件及硬件缺陷。CWE可以让安全研究人员、开发人员和安全管理人员能够更好地理解和解决安全问题。CWE本质就是一个软件和硬件缺陷类型列表,当前最新版本为4.10。本文中所提到的缺陷指软件、固件、硬件或服务组件中的一种状态,在某些情况下,可能导致漏洞的引入。
安全漏洞相关概念(CVE,CNA, CWE,CVSS,OWASP)
oscar999的专栏
10-04 3660
* CVE给发现的漏洞编号 (事后补救), CWE 旨在通过对所有已识别的缺陷和暴露进行分类(事前预防) * CVSS 用来给发现的漏洞一个严重等级的评分 * OWASP 和 CWE发布一个排名靠前的漏洞的列表。
CWE/SANS发布201025个最危险的编程错误
架构师的成长之路
02-26 784
http://www.infoq.com/cn/news/2010/02/cwe-sans-top25 CWE/SANS发布的201025个最危险的编程错误,是一个传播最为广泛而且会导致严重软件缺陷的关键编程错误列表。这些错误通 常易于发现并被利 用。之所以危险,是因为它们会频繁地被攻击者利用,来完全接管软件、偷取数据,甚至阻碍软件的运行。 这个错误列表是SANS研究中心、MITRE和许多...
【应用安全实践】Java代码中的CWE-400的安全漏洞如何解决
zoekimjun的专栏
07-23 431
应用安全实践,Java代码中的CWE-400的安全漏洞如何解决,不信任的输入"(Uncontrolled Resource Consumption)
SAST 技术产品 CodeSense 通过信通院工具能力测试
ubisectech的博客
08-16 604
CodeSense源代码缺陷分析平台(SAST)成功通过中国信通院泰尔实验室组织的——“先进网络安全能力验证评估计划第九期 — 应用安全开发测试工具能力”测试。
软件供应链安全——组件漏洞的治理
m0_50579386的博客
04-27 2883
前 言 漏洞库:漏洞数据库,主要指大型的、公开的、业界公认的漏洞数据库。比如NVD、CNVD、exploit-db等。 CVE:给每个漏洞确定唯一名称,通过CVE可以帮助安全人员快速在漏洞数据库中找到相应的漏洞信息。 CPE:漏洞所关联的产品、版本、依赖路径或命名规范等信息,通过CPE信息,可以知道某个CVE所影响的组件版本和所在产品的依赖路径。 CWE:漏洞的类型,比如某3个组件都存在SQL注入漏洞,这3个漏洞的CVE并不相同,但CWE都可描述为CWE-89 SQL...
2023 已知被利用最多的十大CWE漏洞排名
hwxiaozhi的博客
02-05 1170
使用 2023 CWE Top 25 的方法,通过计算出的分析分数对 CWE 进行排名,该分数考虑了发生率(CWE 映射到 KEV CVE 的次数)和严重程度(CWE 映射到 KEV CVE 的平均 CVSS 分数)。CWE Top 25 团队对这些映射进行了自己的独立分析,不仅考虑了每个 CVE 记录中直接引用的参考文献,还考虑了任何公开可用的漏洞或文章,这些漏洞或文章有助于进一步确定最准确的映射。这里的“弱点”是软件、固件、硬件或服务组件中的一种情况,在某些情况下,这可能会导致漏洞的引入。
"CWE Checker:发现软件弱点并提供修复建议
CWE Checker是一个用于扫描二进制文件并查找已知软件弱点的工具,它可以帮助开发人员发现潜在的安全问题并提供建议或建议修复方案。其项目地址为https://github.com/fkie-cad/cwe_checker。本文将对CWE Checker进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值