智能汽车安全新媒体
近日,美国非盈利性网络安全研究机构MITRE发布了2023软件安全缺陷清单(CWE Top25),对过去两年中严重危害软件应用安全的25个安全缺陷进行了分析和评价。
2023 CWE Top25清单
软件安全缺陷涉及一系列问题,包括包括软件的架构设计和代码实现过程中存在的缺陷、瑕疵、漏洞和错误等。
这些安全缺陷可能会将正在运行的系统暴露在攻击之下,从而使威胁参与者能够控制受影响的设备、访问敏感信息或触发拒绝服务条件等。
为创建此清单,MITRE在分析了美国国家标准与技术研究院(NIST)的漏洞数据库(NVD)和美国网络安全和基础设施安全局(CISA)的已知利用漏洞(KEV)目录中的37,899个CVE的数据后,根据其近两年的普遍性和严重性对每个漏洞进行了评分。
对于许多处理软件的专业人士来说,CWE Top25是一种实用且方便的资源,有助于降低风险。以下是2023年收录的Top25安全缺陷具体信息:
信息来源:MITRE官网
制表:谈思汽车
对比2022和2023年CWE TOP25,有两个漏洞从2023前25名榜单跌落:CWE-400(不受控制的资源消耗)和CWE-611(XML外部实体引用的不当限制);取而代之的是新晋的两个漏洞:CWE-863(授权不正确)和CWE-269(特权管理不当)。
信息来源:MITRE官网
制表:谈思汽车
据悉,MITRE之后还将继续发布一系列关于CWE Top 25方法、漏洞映射趋势及其他实用信息的报告,旨在进一步阐明加强软件缺陷管理的作用和方法。
何谓 CWE
CWE(Common Weakness Enumeration),是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。项目成立于2006年,建立之初借鉴了CVE、CLASP等组织对缺陷概念的描述和分类。
随着CWE组织的发展,越来越多的研究机构、企业和个人将自身对软件源代码缺陷研究的成果共享与CWE。
鉴于CWE对源代码缺陷描述的准确性和权威性,越来越多的源代码缺陷检测厂家,在产品和服务中引用CWE中的相关信息。
对于汽车网络安全从业人员来说,可以通过遵循CWE列表来消除典型错误,在编码阶段清除漏洞。
CWE后来又先后推出CWSS(Common Weakness Scoring System)和CWRAF(Common Weakness Risk Analysis Framework)工程研究。CWSS主要研究的是对源代码缺陷产生危害的不同等级划分。
MITRE的前世今生
MITRE诞生于冷战时代,其前身是麻省理工学院的林肯实验室。为帮助美国空军精确掌握敌军战机的来袭动态,麻省理工学院建成了一个研究所,并提出半自动地面环境(SAGE),通过解和雷达、无线电和网络通信等技术来检测敌机。
1958年,研究所管理者建立Mitre公司,并管理SAGE未来发展。SAGE于1963年开始运作,通过一次次技术的融入与进步,SAGE也成为了美国第一个现代化防空系统。
发展至今,MITRE活跃于诸多领域。在人工智能、直观数据科学、量子信息科学、网络弹性、空间安全、网络威胁等领域都有着创新成果。
2005年,MITRE的车队参加美国自动驾驶汽车竞赛(DARPA),荣获了23名的决赛资格。
其中,网络安全一直是MITRE公司的核心技术之一,其提出的CVE、CWE,网络态势感知等,已成为网络安全领域的标杆。
内容参考:
1、cwe.mitre.org/top25/archive/2023/2023_top25_list.html
2、https://mp.weixin.qq.com/s/VU1zzy4UvlU_pf_KqT7IGA
- THE END -
因文章部分文字及图片涉及到引用,如有侵权,请及时联系17316577586,我们将删除内容以保证您的权益。
