排名前25的名单是一种教育和意识工具,通过识别和避免软件出货之前发生的常见错误,帮助程序员防止困扰软件行业的各种漏洞。软件客户可以使用相同的列表来帮助他们索要更安全的软件。软件安全方面的研究人员可以使用前25名专注于所有已知安全弱点的狭窄而重要的子集。最后,软件经理和CIO可以使用Top 25列表作为保护软件安全进度的衡量标准。
该列表是SANS Institute,MITER和美国和欧洲许多顶级软件安全专家之间的合作成果。它利用SANS Top 20攻击媒介和MITRE Common Weakness Enumeration CWE的开发经验。MITRE在美国国土安全部国家网络安全部门的支持下维护了CWE网站,详细介绍了排名前25位的编程错误以及减轻和避免错误的权威性指导。CWE网站包含超过800个编程错误,设计错误和可能导致漏洞利用的体系结构错误。
2011年前25名对2010年名单进行了改进,但精神和目标保持不变。今年的前25名参赛者使用来自20多个不同组织的输入信息进行优先排序,他们根据流行率,重要性和利用可能性对每个弱点进行评估。它使用 通用弱点评分系统(CWSS)对最终结果进行评分和排名。排名前25的名单包含一小组最有效的“Monster Mitigations”,帮助开发人员减少或消除前25名弱点中的整个群体,以及CWE记录的数百个弱点中的许多弱点。
软件错误分为三类
软件错误类别:组件之间不安全的交互(6错误)软件错误类别:风险资源管理(8错误)软件错误类别:多孔防御(11错误)组件之间不安全的交互
这些弱点与数据在不同组件,模块,程序,进程,线程或系统之间发送和接收的不安全方式有关。
风险资源管理
这一类的弱点与软件无法正确管理重要系统资源的创建,使用,传输或销毁的方式有关。
多孔防御
这一类别的弱点与常常被滥用,滥用或被忽略的防守技术有关。
常见系统弱点
参考推荐:
https://www.sans.org/top25-software-errors/
http://cwe.mitre.org/top25/
