最近幾年，CWE Top 25進行了首次更新。此更新包括一種新方法，可以客觀地確定哪些CWE最常見和最危險。此更新使CWE與不斷變化的應用程序安全性保持一致，并牢記當今實際應用程序中出現的實際問題。此更新還包括對CWE的“On the Cusp”列表的更改，從本質上將前25名擴展到前40名。

常見弱點枚舉（CWE）：最常見的網絡安全弱點列表

CWE或常見弱點枚舉是社區支持的最常見的網絡安全弱點列表。它考慮了各種各樣的危險軟件問題，實際上，其中有800多個問題，從諸如緩沖區溢出之類的內存問題到諸如SQL注入（SQLI）之類的污染數據問題。它可能以其CWE前25名名單（最安全的編碼標準）而聞名。

安全弱點如何分類

關于CWE的弱點列表，有趣的是，它們與真實軟件系統中發生的真實問題相關。當網絡安全中發生壞事時，例如數據泄露，路由器被黑客入侵或安全攝像機易受攻擊，國家漏洞數據庫或NVD中都會有一條記錄。（好吧，并非所有內容都以NVD結尾-但也許應該如此。）每個條目都用一個唯一的編號（稱為CVE或“通用漏洞枚舉”）進行標識，并分配有一個稱為CVSS的NVD分數，這是通用漏洞評分系統說明安全問題有多危險。

此CVE以一種可用于比較其他產品和軟件中類似問題的方式描述了安全問題。當家庭安全攝像機和辦公室路由器出現問題時，可以識別出根本問題是相同的。可能的問題是加密強度較弱，或者其中已編程了默認密碼。因此，CVE幫助我們以“蘋果對蘋果”和“橘子對橙色”的方式討論安全性問題，以便我們更好地理解，計劃和響應。

最終，每個CVE都填充有與代碼中的根源漏洞相關聯的CWE ID，這些漏洞導致CVE中的安全性問題，例如，路由器中發現的漏洞，在某個時候，調查導致識別出負責的代碼。根據軟件漏洞（例如，漏洞利用的未經檢查的輸入字符串）描述了根本原因。

現在已經走了很長一段路，首字母縮略詞太多了，但這基本上意味著您確實可以將已發布的安全問題與潛在的軟件弱點相關聯。最終，作為開發人員，您可以避免現實世界中實際應用程序和設備所發生的問題。

更新：更改為CWE前25名

在2019年初，他們添加了與質量和可靠性有關的新CWE。隨著時間的流逝，這將增加。目前，這些限制主要限于安全漏洞。既然有這么多，那么您從哪里開始呢？CWE包含前25名列表，以幫助確定軟件中最關鍵、最可能和最有影響力的安全漏洞。但是，前25名是一個起點。對于已經在檢查這些弱點的團隊，他們應該繼續在列表中列出。但是，如果您尚未執行任何操作，那么這是一個很好的起點。

CWE Top 25一直保持相對靜態，直到2019年末。在2019年，我們自2011年以來首次對CWE進行了更新。整個CWE定期進行更新，但是Top 25并沒有更新至少到目前為止。

如何選擇最危險的問題

此新列表不僅基于NVD，而且還基于大型組織內部發現的存在實際問題的大型組織，這些組織存在未公開或未包含在NVD中的問題。這是方法的變化，因為它考慮了許多不同的數據源，并且還基于行業觀點增加了一些主觀性。

最新更新有趣的是一種更客觀的方法。當然，不利的一面是，由于我們無權訪問用于生成新列表的私有數據，因此我們可能已經失去了一些東西。優點是，我們從國家漏洞數據庫中表示的所有報告的漏洞中知道CWE Top 25代表什么——“最常見漏洞的真實列表和順序”。

將CWE排在前25名中是有意義的——根據CVSS得分，存在相對危險等級。例如，位置明確的CWE危險性不及第一名，盡管很明顯。所有的弱點都應該被認為是危險的，它們都是壞的，而最終目標是修復它們。

很多人不知道的關于CWE Top 25的另一個有趣的事情是，有一個叫做On the Cusp的東西。這些是幾乎躋身前25名的CWE，我喜歡稱其為榮譽獎，也可能是不光彩的獎。完成根除前25名的操作后，轉到On the Cusp。接下來的那件事很重要。

如果您想從哪里開始，那么無論您使用哪種應用程序，CWE Top 25都是一個很好的起點。如果您即將消除軟件中的前25個弱點，請查看“On the Cusp”規則。美國保險商實驗室UL 2900引用了CWE的前25個弱點，該實驗室是針對連接設備的網絡安全認證。接下來的另一個好地方。對于Web應用程序，請查看OWASP和OWASP Top 10。

如果您是Parasoft客戶或靜態分析工具用戶，并且不了解CWE Top 25更新，那么現在是查看工具配置的好時機。請確保您涵蓋了最新的CWE列表，因為這實際上是軟件安全漏洞中的最新技術。

將來，隨時關注標準并合并隨著時間的變化是有意義的。對于工具供應商來說，遵守最新的CWE也很重要。由于您在某種程度上依賴它們，因此他們會成為根據新規則進行支持和報告的專家。隨著安全開發的進行，請確保您的工具支持On the Cusp規則，因為安全漏洞在25處并沒有硬停。

要了解有關Parasoft的CWE解決方案的更多信息，請！