过程
过程 2010年版的前25位列表建立在最初的2009年版。大约40软件安全专家提供反馈,包括软件开发人员,扫描工具厂商,安全顾问,政府代表和大学教授。表示是国际学生。 沟通的主要方式是通过一个私人讨论名单,最活动发生的时间大约6周。2009年,有多个迭代的草稿。今年,讨论更多的是集中在一个或两个领域,和草稿较小的部分被张贴。 许多前25名贡献者提倡使用量化,数据驱动的方法。然而,尽管有更多的数据比2010年有2009年,它仍然没有足够的规模或精度。它仍然是令人振奋的看到更多的原始数据生成。 排名前25位的建设和发展发生在接下来的阶段。注意,这些阶段是近似的,因为有许多重叠的活动。 准备的候选人名单前25名参与者被要求重新评估2009年前25名。为每一个条目,他们被问到是否“保持”或“删除”进入了2010年榜单。他们也给“尖端”的列表项目从2009年前25名,以及额外的条目,近年来频繁出现在CVE数据。前25名参与者可以表明新条目添加——无论是从“尖端”或自己的提名。2009年排名前25位的是重组一些原始条目移动到措施之一部分,并提供较低级别的条目,而不是抽象的。在某些情况下,这迫使新CWE条目的创建(有关详细信息,请参阅附录B)。如果有积极倡导任何潜在的条目,然后添加到候选人名单。 选择的因素进行评估一些简短的讨论后,决定使用两个因素,患病率和重要性。虽然最初期望的为每一个严格的定义,创建更灵活的定义,允许不同的角色在软件安全社区。 患病率将根据这个标准来进行评估:“为每一个“项目”(是否一个软件包,笔测试、教育工作,等等),这一弱点多久发生或造成问题吗?” 重要性的标准是:“如果这个弱点出现在软件,你用的是什么优先级时建议你的消费群体?(如修复,减轻教育)”。 候选人列表创建和投票因素后决定创建和最后候选人名单(共有41项),参与者投票包含这些候选人的选票。对于每个候选人条目,选民的投票提供了空间提供一个流行评级,评级的重要性,和任何相关的评论。 参与者进行了大约一个星期来评估项目和投票。这是最终延长三个额外的天。 因为投票过程是由手工填写一个表单,发生一些不一致和不完整的结果。这将触发一个交换电子邮件,直到最后的选票被选中。争论的主要区域的局限性4评级为“关键”的重要性和广泛流行。 投票规则的细化,以确保每个组织只提交一个投票,避免少数组织偏见的可能性结果太多了。一般来说,组织需要合并多个投票发现人运动信息澄清自己的perspectivesamongst对方。 选择的指标在投票期间,参与者提供了几种可能的方法得分选票和投票设计指标。一些建议添加了两个普遍性和重要性因素联系在一起。建议使用每个因素的广场。其它建议使用不同的权重或值范围。一些指标提出建议使用高值“广泛”患病率和“关键”的重要性,因为这些被人为限制4每个选民对每个因素的评价。 所选指标被评估由技术熟练的使用几种方法包括卡方统计学家的有效性。 最后选择指标发生一旦验证完成。 一般的选择最终名单(排名)指标的选择后,剩下的选票统计,最后列表选择使用以下过程。
- 对于每个候选人列表中的弱点,收集所有相关的选票。每一个投票有普遍性和重要性评级。一个创建sub-score投票使用选定的指标。对于每个弱点,小分都收集并加在一起。
- 候选人名单是基于总分数排序。
- 25的弱点最高分数从排序的列表中选择。
- 剩下的弱点被添加到“尖端”列表。
- 最初提议的一些指标被认为是用于额外的集中配置文件。
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|
