提供3000多款全球软件/控件产品
针对软件研发的各个阶段提供专业培训与技术咨询
根据客户需求提供定制化的软件开发服务
全球知名设计软件,显著提升设计质量
打造以经营为中心,实现生产过程透明化管理
帮助企业合理产能分配,提高资源利用率
快速打造数字化生产线,实现全流程追溯
生产过程精准追溯,满足企业合规要求
以六西格玛为理论基础,实现产品质量全数字化管理
通过大屏电子看板,实现车间透明化管理
对设备进行全生命周期管理,提高设备综合利用率
实现设备数据的实时采集与监控
利用数字化技术提升油气勘探的效率和成功率
钻井计划优化、实时监控和风险评估
提供业务洞察与决策支持实现数据驱动决策
原创|行业资讯|编辑:郑恭琳|2020-06-01 11:19:59.597|阅读 430 次
概述:最近几年,CWE Top 25进行了首次更新。此更新包括一种新方法,可以客观地确定哪些CWE最常见和最危险。此更新使CWE与不断变化的应用程序安全性保持一致,并牢记当今实际应用程序中出现的实际问题。此更新还包括对CWE的“On the Cusp”列表的更改,从本质上将前25名扩展到前40名。
# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>
相关链接:
最近几年,CWE Top 25进行了首次更新。此更新包括一种新方法,可以客观地确定哪些CWE最常见和最危险。此更新使CWE与不断变化的应用程序安全性保持一致,并牢记当今实际应用程序中出现的实际问题。此更新还包括对CWE的“On the Cusp”列表的更改,从本质上将前25名扩展到前40名。
CWE或常见弱点枚举是社区支持的最常见的网络安全弱点列表。它考虑了各种各样的危险软件问题,实际上,其中有800多个问题,从诸如缓冲区溢出之类的内存问题到诸如SQL注入(SQLI)之类的污染数据问题。它可能以其CWE前25名名单(最安全的编码标准)而闻名。
关于CWE的弱点列表,有趣的是,它们与真实软件系统中发生的真实问题相关。当网络安全中发生坏事时,例如数据泄露,路由器被黑客入侵或安全摄像机易受攻击,国家漏洞数据库或NVD中都会有一条记录。(好吧,并非所有内容都以NVD结尾-但也许应该如此。)每个条目都用一个唯一的编号(称为CVE或“通用漏洞枚举”)进行标识,并分配有一个称为CVSS的NVD分数,这是通用漏洞评分系统说明安全问题有多危险。
此CVE以一种可用于比较其他产品和软件中类似问题的方式描述了安全问题。当家庭安全摄像机和办公室路由器出现问题时,可以识别出根本问题是相同的。可能的问题是加密强度较弱,或者其中已编程了默认密码。因此,CVE帮助我们以“苹果对苹果”和“橘子对橙色”的方式讨论安全性问题,以便我们更好地理解,计划和响应。
最终,每个CVE都填充有与代码中的根源漏洞相关联的CWE ID,这些漏洞导致CVE中的安全性问题,例如,路由器中发现的漏洞,在某个时候,调查导致识别出负责的代码。根据软件漏洞(例如,漏洞利用的未经检查的输入字符串)描述了根本原因。
现在已经走了很长一段路,首字母缩略词太多了,但这基本上意味着您确实可以将已发布的安全问题与潜在的软件弱点相关联。最终,作为开发人员,您可以避免现实世界中实际应用程序和设备所发生的问题。
在2019年初,他们添加了与质量和可靠性有关的新CWE。随着时间的流逝,这将增加。目前,这些限制主要限于安全漏洞。既然有这么多,那么您从哪里开始呢?CWE包含前25名列表,以帮助确定软件中最关键、最可能和最有影响力的安全漏洞。但是,前25名是一个起点。对于已经在检查这些弱点的团队,他们应该继续在列表中列出。但是,如果您尚未执行任何操作,那么这是一个很好的起点。
CWE Top 25一直保持相对静态,直到2019年末。在2019年,我们自2011年以来首次对CWE进行了更新。整个CWE定期进行更新,但是Top 25并没有更新至少到目前为止。
此新列表不仅基于NVD,而且还基于大型组织内部发现的存在实际问题的大型组织,这些组织存在未公开或未包含在NVD中的问题。这是方法的变化,因为它考虑了许多不同的数据源,并且还基于行业观点增加了一些主观性。
最新更新有趣的是一种更客观的方法。当然,不利的一面是,由于我们无权访问用于生成新列表的私有数据,因此我们可能已经失去了一些东西。优点是,我们从国家漏洞数据库中表示的所有报告的漏洞中知道CWE Top 25代表什么——“最常见漏洞的真实列表和顺序”。
将CWE排在前25名中是有意义的——根据CVSS得分,存在相对危险等级。例如,位置明确的CWE危险性不及第一名,尽管很明显。所有的弱点都应该被认为是危险的,它们都是坏的,而最终目标是修复它们。
很多人不知道的关于CWE Top 25的另一个有趣的事情是,有一个叫做On the Cusp的东西。这些是几乎跻身前25名的CWE,我喜欢称其为荣誉奖,也可能是不光彩的奖。完成根除前25名的操作后,转到On the Cusp。接下来的那件事很重要。
如果您想从哪里开始,那么无论您使用哪种应用程序,CWE Top 25都是一个很好的起点。如果您即将消除软件中的前25个弱点,请查看“On the Cusp”规则。美国保险商实验室UL 2900引用了CWE的前25个弱点,该实验室是针对连接设备的网络安全认证。接下来的另一个好地方。对于Web应用程序,请查看OWASP和OWASP Top 10。
如果您是Parasoft客户或静态分析工具用户,并且不了解CWE Top 25更新,那么现在是查看工具配置的好时机。请确保您涵盖了最新的CWE列表,因为这实际上是软件安全漏洞中的最新技术。
将来,随时关注标准并合并随着时间的变化是有意义的。对于工具供应商来说,遵守最新的CWE也很重要。由于您在某种程度上依赖它们,因此他们会成为根据新规则进行支持和报告的专家。随着安全开发的进行,请确保您的工具支持On the Cusp规则,因为安全漏洞在25处并没有硬停。
要了解有关Parasoft的CWE解决方案的更多信息,请!
本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@capbkgr.cn
通过提供强大的3D CAD数据访问工具并适用于桌面、移动和Web的高级环境3D可视化发动机,HOOPS在提升造船设计和制造流程的效率方面发挥了重要作用。
HOOPS Luminate在汽车行业中的应用具有广泛的潜力和深远的影响。它通过提供高效的3D可视化、虚拟装配与拆解、性能分析、客户定制等功能,帮助汽车制造商在设计、生产和销售过程中提升效率、降低成本并提高产品质量。
在不断发展的软件开发世界中,使工具和框架与最新的平台版本保持同步至关重要,欢迎查阅~
全球航运业对国际贸易至关重要,全球 90% 以上的商品通过海运运输。准确监控和控制这些集装箱的移动对于维持高效的供应链至关重要。手动输入集装箱号码是这一程序的关键部分,它带来了相当大的挑战,例如人为错误和效率低下。
针对 C/C++ 软件开发提供统一、完全集成的测试解决方案。
Parasoft Jtest用于应用软件开发的集成Java测试工具
Parasoft dotTEST降低C#和VB.NET开发风险,有效地实现符合C#和.NET开发的测试工具的要求
Parasoft Insure++针对C和C++应用程序的运行时内存泄漏检测和内存调试
Parasoft SOAtest人工智能和机器学习赋能 API 和 Web 服务测试
服务电话
重庆/ 023-68661681
华东/ 13452821722
华南/ 18100878085
华北/ 17347785263
客户支持
技术支持咨询服务
服务热线:400-700-1020
邮箱:sales@capbkgr.cn
关注我们
地址 : 重庆市九龙坡区火炬大道69号6幢