信息化觀察網(wǎng)

智能手機(jī)游戲、個人電子郵件賬戶、跨國銀行業(yè)務(wù)、醫(yī)療記錄……軟件無處不在。軟件娛樂大眾，提升效率，甚至能拯救生命。但不幸的是，每個新開發(fā)出來的程序，總有黑客準(zhǔn)備破壞和利用之。所以，軟件設(shè)計(jì)師、開發(fā)人員和安全專家需要及時獲知潛在漏洞的信息，防止自身計(jì)算機(jī)系統(tǒng)遭受重大破壞。

25個最危險軟件錯誤通用缺陷列表(CWE)列出了可致嚴(yán)重軟件漏洞的最普遍、最關(guān)鍵錯誤。美國國土安全部(DHS)科學(xué)與技術(shù)局(S&T)轄下由MITRE運(yùn)營的國土安全系統(tǒng)工程與開發(fā)研究所(HSSEDI)近期更新了Top 25 CWE列表——八年來首次更新。

S&T聯(lián)邦政府資助的研究與開發(fā)中心管理HSSEDI，其總監(jiān)Scott Randels稱：該列表是改善安全環(huán)境的重要工具。我為與HSSEDI的持續(xù)合作和該產(chǎn)品的巨大緩解潛力而感到激動。

HSSEDI為解決諸多重要領(lǐng)域的國土安全需求，如信息技術(shù)、通信和網(wǎng)絡(luò)安全等，提供獨(dú)立客觀的專業(yè)知識。

2019 CWE列表除了是有用指南文檔，也是重要的概念驗(yàn)證。2011年，分析師通過對行業(yè)專家進(jìn)行個人訪問和問卷調(diào)查的主觀方式編寫了該列表。盡管這是當(dāng)時生成該Top 25列表的有效方式，網(wǎng)絡(luò)安全卻需要不斷的更新與發(fā)展。這一次，分析師采用了數(shù)據(jù)驅(qū)動的方法，基于安全研究人員報告的現(xiàn)實(shí)世界漏洞。

CWE項(xiàng)目主管Chris Levendis稱：我們轉(zhuǎn)向了數(shù)據(jù)驅(qū)動的方法，因?yàn)樵摲椒軌虍a(chǎn)生持續(xù)而可重復(fù)的分析，反映我們在現(xiàn)實(shí)世界中看到的問題。在邁向未來的路上，我們將持續(xù)完善該方法學(xué)。

CWE團(tuán)隊(duì)由美國國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)網(wǎng)絡(luò)安全部門支持，利用過去兩年間的約2.5萬個通用漏洞與暴露(CVE)。通用漏洞與暴露數(shù)據(jù)由全球志愿者提交，這些志愿者致力于網(wǎng)絡(luò)安全，展現(xiàn)了成熟的漏洞管理操作。

CVE數(shù)據(jù)發(fā)布在美國國家漏洞數(shù)據(jù)庫(NVD)中，該數(shù)據(jù)庫是美國國家標(biāo)準(zhǔn)與技術(shù)研究所信息技術(shù)實(shí)驗(yàn)室的產(chǎn)品，同樣由CISA網(wǎng)絡(luò)安全部門支持。CISA要求HSSEDI擔(dān)負(fù)起更新該列表的重要任務(wù)。

用于確定最危險軟件錯誤Top 25的排名系統(tǒng)基于考慮了流行度與嚴(yán)重性的一個公式。既常見又可導(dǎo)致重大損害的缺陷就會得到高分，幾乎不會被利用或者影響比較小的問題則會被排除。

因此，2019列表指出了一種新的頂級缺陷：“內(nèi)存緩沖區(qū)邊界內(nèi)操作的不當(dāng)限制”。之前的頂級缺陷，“SQL指令內(nèi)所用特殊元素的不當(dāng)中和（SQL注入）”，則跌到第六的位置。

盡管“SQL注入”這種術(shù)語可能很多人都不熟悉，大多數(shù)美國人的日常生活卻非常依賴軟件。個人計(jì)算設(shè)備和公司企業(yè)對于軟件的普遍使用，使CWE Top 25列表成為了增強(qiáng)網(wǎng)絡(luò)系統(tǒng)彈性的重要資源。

Levendis表示：在軟件進(jìn)入市場前清除缺陷，是減小攻擊界面的重要步驟，可以更好地保護(hù)普羅大眾。