摘要： CWE Top 25 是通過分析美國國家漏洞資料庫(NVD)中的公共漏洞資料來計算的，以獲取前兩個日歷年 CWE 弱點的根本原因映射，

本文分享自華為云社區《2023年最具威脅的25種安全漏洞(CWE TOP 25)》，作者： Uncle_Tom ，

CWE Top 25 是通過分析美國國家漏洞資料庫(NVD)中的公共漏洞資料來計算的，以獲取前兩個日歷年 CWE 弱點的根本原因映射，這些弱點會導致軟體中的嚴重漏洞，攻擊者通常可以利用這些漏洞來控制受影響的系統、竊取資料或阻止應用程式運行，對此類漏洞資料進行趨勢分析使組織能夠在漏洞管理方面做出更好的投資和政策決策，許多處理軟體的專業人士會發現CWE Top25幫助降低風險的方便且實用資源，

1. CWE 4.12發布

最近幾年，每年6月CWE發布的版本都成為一年中最重要的版本，因為里面包含了新的CWE TOP 25 視圖，也就是我們常說的：CWE最具威脅的25種缺陷，

CWE 4.12 在6月29號發布，里面包含了重要的2023年TOP25視圖: CWE-1425，同時這次的TOP 25還包括從美國網路安全和基礎設施安全域(Cybersecurity and Infrastructure Security Agency’s (CISA))已知被利用漏洞(Known Exploited Vulnerabilities (KEV)) 目錄中觀察到的示例，以顯示與現實世界漏洞的相關性，

另一個重要的變動是在所有 CWE 條目中添加了一個新的節點 - 漏洞映射說明（Mapping_Notes），這些說明將使用戶能夠更準確地將漏洞（例如 CVE）映射到其根本原因弱點，以前，映射注釋僅在“注釋”部分中可用于少數 CWE 條目，為此新版本的CWE，將原有的xml的schema從6.9升級到7.0, 用于完善這個節點的定義，

2. CWE新的節點 – 漏洞映射說明(Mapping_Notes)

我們從cwe_schema_v7.0.xsd中可以看到，新增加的節點"Mapping_Notes"的定義型別為：

“cwe:MappingNotesType”，
<xs:element name="Mapping_Notes" type="cwe:MappingNotesType" minOccurs="0" maxOccurs="1"/>

再看"MappingNotesType"的具體定義為：

<xs:complexType name="MappingNotesType">
<xs:annotation>
<xs:documentation>The MappingNotesType complex type provides guidance for when (and whether) to map an issue to this CWE entry or to suggest alternatives. The Usage element describes whether the CWE should be used for mapping vulnerabilities to their underlying weaknesses as part of root cause analysis. The Rationale element provides context for the Usage. The Comments element provides further clarification to the reader. The Reasons element uses a limited vocabulary to summarize the Usage. The Suggestions element includes suggestions for additional CWEs that might be more appropriate for the mapping task.</xs:documentation>
</xs:annotation>
<xs:sequence>
 <xs:element name="Usage" type="cwe:UsageEnumeration"  minOccurs="1" maxOccurs="1"/>
<xs:element name="Rationale" type="cwe:StructuredTextType"  minOccurs="1" maxOccurs="1"/>
<xs:element name="Comments" type="cwe:StructuredTextType" minOccurs="1" maxOccurs="1"/>
 <xs:element name="Reasons" type="cwe:ReasonsType" minOccurs="1" maxOccurs="1"/>
 <xs:element name="Suggestions" type="cwe:SuggestionsType" minOccurs="0" maxOccurs="1"/>
</xs:sequence>
</xs:complexType>

從這個定義可以看出在"Mapping_Notes"節點下，還有5個子節點，其中"Usage",“Rationale”,“Comments”,"Reasons"是強制必須有的節點，"Suggestions"為可選節點，

這個節點資訊的增加，將為我們在CWE與缺陷映射時，提供極大的幫助，以提高映射的準確性，

CWE的作業者們已經意識到CWE與缺陷的映射時出現的重疊或CWE之間存在模糊的交集，會給缺陷分類帶來很多的困惑，最最近的幾個版本中，正試圖通過增加節點以及映射說明，逐步的修正這個問題，特別是CWE 4.11中添加了新的軟體保障趨勢視圖綜合分類:CWE-1400，將所有弱點分組（如“記憶體安全”），以便于分析軟體保障中的趨勢和優先級，

3. CWE 2023 TOP 25

CWE Top 25 是通過分析美國國家標準與技術研究院(National Institute of Standards and Technology（NIST)）美國國家漏洞資料庫(U.S. National Vulnerability Database（NVD）)中的公共漏洞資料來計算的，以獲取前兩個日歷年 CWE 弱點的根本原因映射，這些弱點會導致軟體中的嚴重漏洞，攻擊者通常可以利用這些漏洞來控制受影響的系統、竊取資料或阻止應用程式運行，

2023年 CWE TOP25 包含最近常見漏洞和披露（Common Vulnerabilities and Exposures (CVE））記錄的更新弱點資料，這些資料是網路安全和基礎設施安全域(Cybersecurity and Infrastructure Security Agency’s (CISA))已知被利用漏洞(Known Exploited Vulnerabilities (KEV)) 目錄的一部分，

CWE 通過分析2021到2022年報告的43,996個CVE漏洞，得到了2023 最具威脅的25種漏洞，

對此類漏洞資料進行趨勢分析使組織能夠在漏洞管理方面做出更好的投資和政策決策，許多處理軟體的專業人士會發現 CWE Top 25 是幫助降低風險的實用且方便的資源，

2023 CWE TOP25排行

3.1. 缺陷變動情況

名單中上升最快的是：
- CWE-416:釋放后使用, 從 #7 上升到 #3;
- CWE-862:授權機制缺失, 從 #16 上升到 #11;
- CWE-269:特權管理不恰當, 從 #29 上升到 #22;
- CWE-863:授權機制不正確, 從 #28 上升到 #24，
名單中跌幅最大的是：
- CWE-502:不可信資料的反序列化, #12 降為 #15;
- CWE-798:使用硬編碼的憑證, 從 #15 降為 #18;
- CWE-276:預設權限不正確, 從 #20 降為 #25，
前25名中的新進缺陷是：
- CWE-269:特權管理不恰當, 從 #29 上升到 #22;
- CWE-863:授權機制不正確, 從 #28 上升到 #24，
跌出前25名的缺陷是：
- CWE-400:未加控制的資源消耗(資源耗盡), 從 #23 跌到 #37;
- CWE-611:XML外部物體參考的不恰當限制(XXE), 從 #24 跌到 #28，

點擊關注，第一時間了解華為云新鮮技術~

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/557023.html

標籤：其他

上一篇：資料結構鏈表的基本操作

下一篇：返回列表