亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

智能手機游戲、個人電子郵件賬戶、跨國銀行業(yè)務(wù)、醫(yī)療記錄……軟件無處不在。軟件娛樂大眾，提升效率，甚至能拯救生命。但不幸的是，每個新開發(fā)出來的程序，總有黑客準備破壞和利用之。所以，軟件設(shè)計師、開發(fā)人員和安全專家需要及時獲知潛在漏洞的信息，防止自身計算機系統(tǒng)遭受重大破壞。

25 個最危險軟件錯誤通用缺陷列表 (CWE) 列出了可致嚴重軟件漏洞的最普遍、最關(guān)鍵錯誤。美國國土安全部 (DHS) 科學(xué)與技術(shù)局 (S&T) 轄下由 MITRE 運營的國土安全系統(tǒng)工程與開發(fā)研究所 (HSSEDI) 近期更新了 Top 25 CWE 列表——八年來首次更新。

S&T 聯(lián)邦政府資助的研究與開發(fā)中心管理 HSSEDI，其總監(jiān) Scott Randels 稱：該列表是改善安全環(huán)境的重要工具。我為與 HSSEDI 的持續(xù)合作和該產(chǎn)品的巨大緩解潛力而感到激動。

HSSEDI 為解決諸多重要領(lǐng)域的國土安全需求，如信息技術(shù)、通信和網(wǎng)絡(luò)安全等，提供獨立客觀的專業(yè)知識。

2019 CWE 列表除了是有用指南文檔，也是重要的概念驗證。2011年，分析師通過對行業(yè)專家進行個人訪問和問卷調(diào)查的主觀方式編寫了該列表。盡管這是當時生成該 Top 25 列表的有效方式，網(wǎng)絡(luò)安全卻需要不斷的更新與發(fā)展。這一次，分析師采用了數(shù)據(jù)驅(qū)動的方法，基于安全研究人員報告的現(xiàn)實世界漏洞。

CWE 項目主管 Chris Levendis 稱：我們轉(zhuǎn)向了數(shù)據(jù)驅(qū)動的方法，因為該方法能夠產(chǎn)生持續(xù)而可重復(fù)的分析，反映我們在現(xiàn)實世界中看到的問題。在邁向未來的路上，我們將持續(xù)完善該方法學(xué)。

CWE 團隊由美國國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA) 網(wǎng)絡(luò)安全部門支持，利用過去兩年間的約 2.5 萬個通用漏洞與暴露 (CVE)。通用漏洞與暴露數(shù)據(jù)由全球志愿者提交，這些志愿者致力于網(wǎng)絡(luò)安全，展現(xiàn)了成熟的漏洞管理操作。

CVE 數(shù)據(jù)發(fā)布在美國國家漏洞數(shù)據(jù)庫 (NVD) 中，該數(shù)據(jù)庫是美國國家標準與技術(shù)研究所信息技術(shù)實驗室的產(chǎn)品，同樣由 CISA 網(wǎng)絡(luò)安全部門支持。CISA 要求 HSSEDI 擔(dān)負起更新該列表的重要任務(wù)。

用于確定最危險軟件錯誤 Top 25 的排名系統(tǒng)基于考慮了流行度與嚴重性的一個公式。既常見又可導(dǎo)致重大損害的缺陷就會得到高分，幾乎不會被利用或者影響比較小的問題則會被排除。

因此，2019 列表指出了一種新的頂級缺陷：“內(nèi)存緩沖區(qū)邊界內(nèi)操作的不當限制”。之前的頂級缺陷，“SQL 指令內(nèi)所用特殊元素的不當中和（SQL 注入）”，則跌到第六的位置。

盡管 “SQL 注入” 這種術(shù)語可能很多人都不熟悉，大多數(shù)美國人的日常生活卻非常依賴軟件。個人計算設(shè)備和公司企業(yè)對于軟件的普遍使用，使 CWE Top 25 列表成為了增強網(wǎng)絡(luò)系統(tǒng)彈性的重要資源。

Levendis 表示：在軟件進入市場前清除缺陷，是減小攻擊界面的重要步驟，可以更好地保護普羅大眾。

2019 CWE Top25 列表：

https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html