2021 cwe top 25 软件脆弱点

up:: [[ Blue Team能力建设 ]]-安全规范 Security regulations

  • 背景

    • CWE的全称是Common Weakness Enumeration,列举了过去两年中遇到的最常见和影响最大的软件安全问题。这些脆弱点通常很容易被发现、利用,并且可以让攻击者完全接管系统、窃取数据。 CWE Top 25 是一个宝贵的社区资源,可以帮助开发人员、测试人员和用户——以及项目经理、安全研究人员和教育工作者——深入了解最严重和当前的安全漏洞。
    • CWE 团队利用了美国国家标准与技术研究院 (NIST) 国家漏洞数据库 (NVD) 中的CVE数据以及CVSS分数与每个 CVE 记录相关联。将公式应用于数据,根据出现概率和严重程度对每个脆弱点进行评分。
  • The CWE Top 25

    • 计算公式
      • 评分公式用于计算脆弱点的排序顺序,该顺序考虑了漏洞出现的频率与严重程度,并对最小值和最大值进行了标准化。
      • 为了确定频率,评分公式计算 CWE 映射到 NVD 内的 CVE 的次数:
        • Freq = {count(CWE_X’ ∈ NVD) for each CWE_X’ in NVD}
        • Fr(CWE_X) = (count(CWE_X ∈ NVD) - min(Freq)) / (max(Freq) - min(Freq))
      • 评分公式中的另一个组成部分是严重程度,它由映射到特定 CWE 的所有 CVE 的平均 CVSS 分数表示。 下面的等式用于计算该值:
        • Sv(CWE_X) = (average_CVSS_for_CWE_X - min(CVSS)) / (max(CVSS) - min(CVSS))
      • 然后通过将严重程度的分数乘以频率分数来确定特定 CWE 呈现的排序分数:
        • Score(CWE_X) = Fr(CWE_X) * Sv(CWE_X) * 100
  • 来源

    • http://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

Notes mentioning this note