处于:其他弱点需要考虑2011年CWE / SANS对于开发人员只是一个起点。很多弱点被认为包含在前25名中,但是一些不让它最后的名单。一些人认为是严重不足;其他人则认为是普遍不够;人不是利用经常。有时,前25位评论者自己混合意见一个弱点是否应该添加到列表中。 严重程度,一些排名前25位的用户可能有显著不同的威胁模型。例如,软件正常运行时间可能对消费者至关重要关键基础设施或电子商务环境中运作。然而,在威胁模型使用的前25位,可用性被认为是重要的略低于完整性和机密性。 流行,一些顶级25项不得适用于软件开发的类。例如,跨站点脚本是特定于网络,尽管类似物存在于其他技术。在其他情况下,开发人员可能已经消除了大部分的前25位在过去的努力,所以他们想要寻找其他的弱点依然存在于他们的软件。 一些处于商品也省略了,因为他们已经间接地覆盖在前25名中,通常是通过一个更一般的条目。然而,这些将作为独立项目重要的考虑。 由于这些原因,前25名的用户应认真考虑包括这些弱点在他们的分析。
|
