2011年CWE / SANS问题&答案这是如何不同于OWASP十大? 简短的回答是,OWASP前十名包括更一般的概念和专注于web应用程序。CWE前25涵盖更广泛的问题比来自OWASP前十名的以web为中心的视图,如缓冲区溢出。同时,CWE前25的目标之一是在一个水平,是程序员直接执行,所以它包含更详细的问题比在前十名中使用的类别。有一些重叠,然而,因为web应用程序是如此普遍,和一些问题在排名前十的通用应用程序类的软件。 名单上的弱点优先怎么样? 2011年建成使用列表25组织的调查中,他排名根据他们的患病率和潜在的弱点的重要性,它提供了一些定量支持最终排名。 输入验证怎么了?去年是第一,现在它不见了。 不走了,就搬到怪物措施之一部分。许多通用CWE条目被删除前25位,因为他们重叠的其他物品。这也让位给其他更具体的弱点上市。 你为什么把威胁模型从2010年单吗? 而在2009年这是一个有用的练习,一般观众的前25名有太多选择一个威胁模型。今年,关注重点概要旨在帮助使用优先级排序使用其他手段。 你为什么不使用硬统计数据来支持你的说法吗? 适当的统计数据不公开细节足够低的水平,但在2009年和2010年,正在取得进展。公开的统计数据是太高级或者不够全面。和他们都没有综合所有软件类型和环境。 举个例子,在2006年的CVE漏洞趋势报告,25%的报道CVE要么有足够的信息,或者他们不能使用CVE的37个缺陷类型特征类别。同一份报告仅覆盖公开报道的漏洞,所以类型的问题可能不同于安全顾问发现(和他们经常禁止披露他们的发现)。 最后,一些前25捕捉的主要弱点(根源)漏洞——如CWE-20、cwe - 116和cwe - 73。然而,这些根源很少或跟踪报道。 为什么这么多东西相关的web应用程序? 甚至不是基于web的产品通常有内部web应用程序——例如,一个基于web的管理界面,一个HTML转换器或渲染器,等等。 SQL注入(cwe - 89)是web应用程序不是独一无二的。 只有cwe - 79 (XSS)和cwe - 352 (CSRF)在web应用程序中是独一无二的。其他条目适用于其他类型的软件,尽管他们可能在web应用程序中非常常见,如SQL注入。换句话说,明显偏向于web应用程序并不像看上去的那么糟。说服自己,看个人的观察和示范例子CWE网站页面。 你为什么包括移植在前25名中而不是指向他们CWE网站吗? 由于开发人员的主要观众之一,它相信他们的重点将是气候变化,许多开发人员可能希望在编程过程中打印出排名前25位的咨询。所以,这是一个方便的问题。此外,移植在CWE条目可能随时间改变。在未来排名前25位的列表,我们将确定移植将符合他们CWE条目的时候释放。 你为什么包括设计问题?我认为这是程序员。 目标受众是开发人员,而不是程序员。另外,在一些软件商店,程序员做一些当地的设计除了实现。 有什么区别“弱点”和弱点? 那实际上是一个深奥的哲学问题,convoluted-sounding回答。简短的答案是,一个弱点只是一般类型的开发人员错误,独立于上下文的错误发生。有时,它可能没有任何安全的相关性。然而,当弱点出现在部署软件,它是在一个地方可能是容易被攻击者的代码,那么它可能会变成一个漏洞如果条件是正确的。它可能包括其他的存在弱点,例如。 更为复杂的问题是所使用的不同的观点和不一致的术语在软件安全,仍然是一个相对较新的领域(尤其是相比,桥梁工程)。人们不同的观点可能使用相同的术语,或专注于一个问题的不同方面。例如,根据不同的人来说,这句话“缓冲区溢出”可能意味着程序员错误的类型,类型的攻击,或者结果的类型。CWE(前25名)必须使用许多人使用这些不同的观点,所以必定混乱,直到这个行业的成熟。 为什么这个列表有这么多常见的疾病?关于新的弱点,刚刚开始成为一个问题呢? 考虑“尖端”页面以及重点剖面建立安全的开发人员。 这是如何不同于七有害的王国分类? 七个致命的王国(7 pk)不优先考虑它包含的缺陷,导致病菌与不同的严重性和普遍性。七有害的王国和前25名开发人员的目标受众,但7 pk关注错误,介绍了在实现。前25名中涵盖了可能出现的问题,在实现设计、配置、安装、和其他SDLC阶段。七个致命的王国分类法也使用相对较少的类别使开发人员更容易记住,前25位是平坦的列表,为更广泛的覆盖可用性的小费用。最后,直接输入的前25位出现了几十个人的支持和广泛的信息CWE条目。综上所述,我们认为,七个致命的王国是一个重要的分类的理解软件的弱点,和它的影响反映在CWE的大部分地区。 |