常见的弱点枚举

补充细节- 2022 CWE前25名

这个页面提供了补充细节有关2022 CWE最危险软件的弱点列表。

表的内容

• 详细的方法
• 方法的局限性
• 数据偏差
• 标准偏差
• 比较测量最重要的软件安全漏洞(MSSW)
• 梅森危险得分相比框架
• 考虑独立复制前25名
• 映射的细节问题
• 新兴的机会改善
• 全社区的策略为提高映射
• 排名前25位的未来的可能性

详细的方法

的NVD获得从CVE漏洞数据,然后补充额外的分析和信息,包括一个映射到一个或多个弱点,CVSS分数,这是一个数字分数代表的潜在严重性脆弱性基于一套标准化的脆弱性特征。NVD还包括CWE映射的CVE编号当局为每个CVE (CNAs)。NVD消化提供了这种信息格式,用于2022年创建数据驱动的方法CWE前25名。这种方法提供了一个客观的看看漏洞目前看到在现实世界中,创建一个分析严谨的基础建立在公开报道的漏洞,而不是主观调查和意见,并使容易重复的过程。

2022年CWE前25位利用NVD数据与CVE id从2020年到2021年,下载了几个不同的时间。下面是下载当每个快照的日期。请注意,这样做是为了尽可能保持一致与当前下载同时允许足够的时间能够处理如此大量的映射。

• 快照1:2021年12月7日
• 快照2:2022年5月1日
• 3日快照:2022年5月31日
• 4日快照:2022年6月13日

最后的6月13日的快照原始数据由37899名CVE记录没有拒绝标签。

排名前25位的团队分析的一个子集CVE记录并执行重新映射,改变或同意现有CWE映射NVD内发现,使用体现连续波可用。这些记录在NVD重新映射替换原来的映射。“正常化”过程将团队的选择CWE体现CWE中可用视图- 1003。例如,cwe - 122:基于堆的缓冲区溢出视图- 1003,这是“规范化”其母基准面的弱点,cwe - 787:界外写,在视图- 1003。注意CWE排名前25位的团队和NVD团队相互协调,以确保映射在NVD适当地更新,但这是一个单独的进程。

清除了cf排名前25位的数据集,如果他们没有CVSS分数,通常表明cf尚未分析,或他们错误地分配问题没有漏洞。同样,任何描述的CVE标记“* *拒绝* *”删除。cf,只是贴上“NVD-CWE-noinfo”或“CWE-Other”也会被删除。任何没有映射的CVE CWE被移除。

计分公式用于计算排名的顺序相结合的弱点CWE的频率是一个漏洞的根本原因与预期严重的剥削。在这两种情况下,频率和严重程度都是归一化相对于最小值和最大值。

确定CWE的频率,计分公式计算的次数在NVD CWE映射到CVE。只有那些有关联的cf软弱是用于这个计算,因为使用整个组内cf NVD会导致低频率在不同缺陷类型和减少歧视。

频率= {count (CWE_X '∈NVD)为每个CWE_X '在NVD}

Fr (CWE_X) = (count (CWE_X∈NVD) - min(频率))/ (max(频率)- min(频率))

计分公式中的其他组件是一个软弱的严重性,这是平均CVSS分数所代表的所有映射到特定的CWE的cf。下面的方程是用来计算这个值。

Sv (CWE_X) = (average_CVSS_for_CWE_X - min (CVSS)) / (max (CVSS) - min (CVSS))

危险的水平提出的特定CWE然后由严重程度得分乘以频率分数。

分数(CWE_X) = Fr (CWE_X) * Sv (CWE_X) * 100

有一些属性的方法,需要进一步解释。

• 弱点很少发现不会得到高分,无论与任何开发相关的典型结果。这是有意义的,因为如果开发人员不是犯了某个错误,然后CWE的弱点不应该强调前25名。
• 弱点和低影响不会得到高分。这是有道理的,因为无法通过利用一个弱点造成严重的伤害意味着软弱应该排在那些可以。
• 弱点,都是常见的,可以造成严重的伤害应该得到一个高分。
• 弱点,开始与一个错误的根本原因导致其他错误,从而创建一个链的关系。在今年的分析中,研究小组试图捕捉链尽可能没有得分的变化。对于任何链“X - > Y”, X和Y都包含在分析如果他们独立上市。注意,随着CWE团队充实了链式关系与社区合作,可以保证改变明年的得分和开始。说,今年的榜单仍比较前几年的列表,因为他们没有治疗链不同于多个连续波的清单。

方法的局限性

有几个限制使用的数据驱动的方法创建CWE前25名。

一些最重要的限制可以概括如下:

• 数据偏差
• 根据公开报道CVE只使用NVD数据记录
• 许多cf没有足够的细节来分配一个CWE映射,忽略他们的排名
• 可能会有某些编程语言的代表,框架,或weakness-detection技术
• 标准偏差
• 间接实现错误的优先级设计缺陷
• 在实践中,更喜欢频率严重由于实际数据的分布

这种偏见的一些将在下面更详细地解释。

数据偏差

首先,公开报道的方法只使用数据和捕获NVD,和许多漏洞存在,没有CVE id。漏洞,不包括NVD因此被排除在这种方法。例如,CVE / NVD通常不包括漏洞之前发现和固定系统已经公开发布,在线服务,或定制的软件,是一个组织内部。弱点导致这些类型的漏洞可能不足2022 CWE的前25位。

第二,甚至对于收到CVE漏洞,往往没有足够的信息来作出准确的(或精确)的识别适当的CWE被剥削。许多厂商发布的CVE记录只描述脆弱性的影响脆弱性本身没有提供细节。例如,从2020年和2021年至少2507 cf没有足够的信息来确定潜在的弱点。在其他情况下,CVE描述覆盖漏洞的攻击,但这并不总是显示相关的弱点是什么。例如,如果一个长输入程序造成了事故,事故的原因可能是由于缓冲区溢出,可以断言,过度的内存分配,一个未处理的异常,等等。这些都对应于不同,个人连续波。在其他CVE记录,只使用通用术语如“恶意输入,使没有关联的弱点。对于一些条目,可能有有用的信息可用的引用,但是很难分析。例如,研究人员可能使用起毛程序生成一个有用的测试用例,会导致崩溃,但开发人员只需修复崩溃没有分类和报告潜在的错误是什么。

第三,有固有的偏见CVE / NVD数据集的供应商报告漏洞和所使用的语言,这些供应商。如果最大的贡献者之一CVE / NVD主要使用C编程语言,经常存在于C程序的缺点更有可能出现。起毛对基于内存的程序,程序可以非常有效,所以他们可能会发现更多的漏洞。上述评分指标试图减轻这种偏见不仅仅通过观察最常报道的连续波;它还考虑平均CVSS分数。

CVE / NVD数据集的另一个倾向是,大多数脆弱性研究人员和/或检测工具非常精通发现某些弱点而不是其他人的。这些类型的缺点,研究人员和工具中很难找到最终将不足2022 CWE前25名。

最后,缺口或疑似CWE层次结构本身的错误概念导致不正确的映射。正在重新映射帮助CWE团队合作学习这些内容差距和问题,将在后续CWE的版本中解决。

标准偏差

一个重要偏差理解相关指标是它间接实现缺陷的敏感度要高于设计缺陷,由于他们的患病率在单独的软件包。例如,一个web应用程序可能有许多不同的跨站点脚本(XSS)由于大漏洞攻击表面,然而只有一个实例的弱身份验证可能会影响整个应用程序。能够设计出另一种度量,包括产品的百分比NVD内至少有一个与特定CWE CVE。这种度量常用的应用程序安全厂商在他们的年度分析。

比较测量最重要的软件安全漏洞(MSSW)

一个指标的限制被Galhardo筹集了2020年12月,Bojanova,干预,Gueye研究会纸”测量最重要的软件安全漏洞”。作者出版的《发现方程高度偏差频率,几乎忽略了可利用性和影响产生不同大小的列表。这是由于不同的组件的分布度量值。”的ir proposed scoring formula uniformly distributes the frequency component of weakness scores within the range [0,1). Dropping high prevalence low severity weaknesses from the CWE Top 25 and replacing those weakness with less frequent, but proportionally higher severity ones. Mathematically, the redistribution is performed via double logging the frequency data to correct for the exponential distribution of weakness frequencies:日志(日志(cf的CWE_x))。目标是均衡分布CWE频率分数范围(0,1)。

排名前25位的团队实现了一个实验版MSSW,发现最初的批判似乎适用于今年的榜单。例如,考虑如何cwe - 79排名# 2,但最低平均整个排名前25位的CVSS分数(5.73)和尖端。此外,几个标准排名前25位的弱点下降超过10的位置。提到的cwe - 79排名是由排名前25位的团队而省略一些MSSW建议。它不将前25分为两个CWE前20名列表基于高级连续波(支柱/类)和底层连续波(基地/变量/化合物)。CWE团队应用了MSSW建议higher-lower抽象分割成两个列表作为弱点被NIST,看到类似的结果像CWE - 79,但仍然需要更详细的数据分析之前全部结果的修改可以共享。

MSSW白皮书强调了一个重要的问题与频率在前25名中计算的重量。目前传统的方程使用的前25名,NIST称之为MDSE,重同样频率和严重程度。实际上,这意味着MDSE相当于增加了100%的频率在严重一倍。由于CVSS分数限制在10(从0.0到10.0的增量0.1),最多可以有100的分数,限制CVSS分数2数量级的差异从这个最低分数最高的分数。频率低至1高达4740,这是一个更高的数量级。

NIST团队指出,相等权重的指数分布不均匀分配CWE频率分数范围(0,1)。鉴于疲弱的指数分布频率,频率值项MDSE的挤压下的范围(0,1),而划分的经验更加平衡分布,虽然CVSS分数也通常斜向右由于较高的安全性漏洞的发表偏倚。

梅森危险得分相比框架

排名前25位的团队曾与乔治梅森大学的一组研究人员(乔治·梅森大学),特别是诺阿艾博年,为了更好地理解他们提出头n个方法的异同。经过几次讨论,仔细分析他们的工作发表在“对基于配置安全脆弱性指标”,前25名的团队认为这提供了一个类似的不同的方法。乔治·梅森大学团队比较他们的数据和方法2020年排名前25位的列表以及NVD 2018年和2019年的数据。在排名前25位的排名相比,他们发现约90%相关的2018年和2019年,分别。除了提供验证反对2020年前25名中,乔治·梅森大学团队利用IDS规则使cf所能探测到IDS规则。简而言之,“基于配置安全脆弱性指标”梅森危险得分框架提供以下主要贡献:“(我)一个通用的和可扩展的正式的方法来评估一个攻击者的可能性将尝试利用漏洞以及成功的开发需要的影响;(2)使用入侵检测系统(IDS)的规则计算的可能性和影响;和(3)的一组指标补充图模型建立在脆弱的图表,包括但不限于多层图形生成的SCIBORG(一个框架,提高分布式系统的安全状况检查配置更改的影响在相互依赖的组件)”。

考虑独立复制前25名

一些政党可能希望独立复制前25位的计算。虽然CWE排名前25位的团队支持独立复制,必须做出以下注意事项:

• NVD定期添加或改变旧的CVE记录,定期发布新CVE - 2020 - xxxx / CVE - 2021 - xxxx条目。有许多原因NVD的动态特性,超出了本文的范围。
• NVD团队可能不整合所有建议映射由排名前25位的团队。尤其如此当一个CVE有多个连续波在链接关系中,作为NVD是没有设置代表链。
• 视图- 1003可以改变多年来和跨CWE版本,影响正常化。

映射的细节问题

本节提供进一步的细节,连续波,通常认为根源的弱点在漏洞不恰当或不提供信息的披露。虽然这些条目是重要的理解的层次CWE的弱点,它们可以“有问题的”用于漏洞缺陷类型的映射。

一般来说,最成问题的连续波有一个或多个下列问题:

• 混淆短语指示技术脆弱性的影响,并不意味着一个单独的弱点(例如,“特权升级”或“信息泄露”)
• CWE在较高的抽象级别,当低层cw可能党公开漏洞
• 时使用的措辞模糊,更精确的措辞可能会是有用的
• 措辞不一致的各种漏洞

最下面列出有问题的连续波,并描述了在执行重新映射所遇到的困难,在2022年前25名。

CWE ID	名称/解释
cwe - 200	暴露敏感信息的未经授权的演员
	很多cf只描述了一个技术影响其他弱点,而不是描述错误导致信息披露(弱点)。较低的许多漏洞细节,允许违反保密,映射到cwe - 200。然而,超过300种不同的弱点confidentiality-related影响如读内存,文件等。超过100 cf最初映射到cwe NVD-CWE-noinfo - 200,但重新映射。更cf会被重新映射到NVD-CWE-noinfo,除了2022年的方法改变,迫使选择CNA-chosen CWE映射如果没有可用的其他信息。
CWE-20	不正确的输入验证
	这是常作为唯一的短语描述一个弱点,没有额外的细节。链接分析2022年不出所料透露各种其他有关记忆的安全弱点,注入等等。
cwe - 269	权限管理不当
	这是经常使用在无知的情况下描述一个技术影响像“特权升级,但可能映射,因为它提到的特权。超过300个cf NVD-CWE-noinfo贴图。
cwe - 732	不正确的权限分配的关键资源
	虽然名字本身表明一个资源的权限分配,这通常是滥用漏洞中“权限”不是检查(一个授权的问题)。
cwe - 77	不当中和一个命令中使用的特殊元素(“命令注入”)
	更多细节可用于漏洞时,它通常是cwe - 78 (OS命令注入)。超过150个cf最初映射到cwe - 77和重新映射到cwe - 78细看。超过200的cf被保持在cwe - 77,主要是因为唯一的短语是“命令注入”而不是注入其他类型的命令另外一个操作系统命令。
cwe - 284	访问控制不当
	很高级。许多cf简单地说“不正当访问控制”没有额外的细节,但它是怀疑知情人士的细节(例如,CNAs)可以使用较低级别的选项相关的授权、身份验证、权限等。一个复杂的因素是,有许多不同的解释“访问控制”这个词到底是什么意思。
cwe - 668	曝光资源错误的球体
	作为一个全方位,当有时更具体的连续波可以帮助。可能与其他连续波重叠。在2022年重新映射,50岁以上的cf NVD-CWE-noinfo贴图。
类别
	一些组织还映射到类别。这是一个积极鼓励实践至少从2019年开始,由于类别非正式组织分组CWE的弱点,帮助导航和浏览用户,他们没有自己的弱点。
柱子和高级课程
	一些组织映射到柱子和高级类(孩子的支柱的研究观点,cwe - 1000)。就其本质而言,支柱的技术细节很少,高层类。虽然高层类和柱子可以是有用的教育从理论的角度来看,他们并不足够精确的描述现实世界的漏洞的原因。

这个列表是说明性的,但不全面。在未来,前25小组希望提供工具和功能,识别CWE id映射时气馁或禁止使用漏洞cw根源。

新兴的机会改善

尽管当前的限制重新映射任务最近一些活动已经成形,可能会显示积极改进NVD / CWE映射数据,用于未来排名前25位的列表:

• NIST的协作漏洞元数据验收程序(CVMAP)程序继续获得牵引力,积极互动与候选人CVE编号当局(CNAs)可能会提高CWE映射与CNAs质量。CVMAP融入2022年重新映射可以提供有用的数据来提供特定的反馈区域CVMAP内部和外部。在2022年第三和第四季度,CWE项目计划与CNAs更紧密的互动,帮助他们提供更精确的数据。
• CVE JSON记录格式的版本5.0包括直接支持包括CWE映射CVE记录,这可能会提高质量和精度CWE映射。采用仍在,但自2021年以来已取得显著进展。
• 2021年3月,CWE程序发布CVE - > CWE映射指导,这使得它更容易必须和其他各方进行技术的任务就是寻找合适的CWE映射的漏洞。自定义内部指导开发各种类型的弱点与NIST和共享;提供这一更广泛的指导可能会有所帮助。排名前25位的方法使用NVD数据从前面两个日历年,本指南的影响仅仅是开始出现在数据本身。
• 额外的培训计划可以帮助教育区域脆弱性研究人员,和其他人提供更加一致,精确CWE映射。
• 更多的教育关于“问题连续波”经常被误用或映射不当,可能包括一些工具组织评估自己的CWE的使用。更多的细节在一段。

全社区的策略为提高映射

而排名前25位的同比提高了自2019年以来,整个变化率仍相对缓慢,反映在课程的比例仍在2022年的列表。排名前25位的团队认为,大社区的参与将有助于提高未来的质量排名前25位的列表,和整体质量和精度为报道cf CWE映射。

在接下来的六个月中,排名前25位的团队将考虑改变如:

• 提高表达的观点- 1003。一些高级的连续波没有很多孩子在视图- 1003包括CWE-20 cwe - 200等。有时更高级的连续波并不可用,可能迫使第三方分析师选择不恰当的低级映射。例如,“不正当访问控制”作为一个词具有相同的名称作为CWE - 284,但是如果没有其他细节,分析师可能会重新映射到底层CWE即使现在还不确定。
• 进行更直接的参与必须:
  • 工作直接与CVE质量工作组(QWG)帮助必须改善他们的映射
  • 工作与个人必须发布许多cf和相对成熟的CWE采用但可以改善自己的CWE支持的方式影响他们的消费者和社区
  • 与社区利益相关者合作,提高理解和区分技术影响和弱点
  • 提供培训教程在社区聚会(例如,CVE全球峰会或公共教育系列)
• 为外部党派——提供一个功能区域脆弱性研究人员和其他人,来评估是否映射到常被误用连续波。

排名前25位的未来的可能性

排名前25位的团队主要遵循相同的方法在过去的四年。团队可能在明年进行重大修改,这将影响如何生成列表,可能造成重大的转变。例如:

• 支持代定制或更专业,领域特定头n个列表(例如,排名前25位的移动应用程序或web应用程序)。今年,中钢协KEV列表是作为一个例子。所有中钢协的团队还生成一个实验性的头n个ICSA警告(从2020年至2021年),有更多的变化相比的主要列表,并显示了利益承诺自定义头n个列表。CWE团队听说新头n个出版物列表将会受到社会的欢迎。
• 分析可以调整关注cf,发表在某一年(或两年),而不是选择基于今年的cf的ID(例如,cve - 2020 - xxxx / cve - 2021 - xxxx)。因此,将会有更少的需要更新NVD版本重新映射的中间活动,介绍了不可预测性。然而,这种方法需要cf留下足够的时间和发展(即“成熟”。,获得额外的引用,描述变化,CWE映射从区域等),否则前25位分析师会减少详细数据,增加的可能性低质量的映射和减少评选名单之列的准确度和精密度。
• 考虑利用2年的时间窗口NVD数据集-只做前一年的数据。
• 考虑改变指标用于生成列表来最小化作为讨论的一些偏见方法的局限性部分。
• 改变抽样方法的方式更好的可能导致在未来高质量的映射。例如,cwe - 120:缓冲区复制没有检查输入的大小(“经典缓冲区溢出”)似乎可能过度使用,因为它是为数不多的连续波与“缓冲区溢出”在其名称;CNAs可能错误地映射到它如果他们不够谨慎识别核心错误,即,而不是检查输入的大小。在其他情况下,密切联系cwe - 352 (CSRF)和cwe - 79 (XSS)可能会导致混乱和不正确的映射,因为有时CSRF攻击者利用的先决条件是一个不同的弱点,或增加攻击的范围,和分析师可能映射到cwe - 352即使脆弱性是一个不同的弱点。cwe - 120和许多其他低级cw没有收到很大的关注,因为他们不是一个类。
• 减少需要进行大量的重新映射。排名前25位的团队认为,执行很多每年重新映射长期是不可持续的,因为它们是劳动密集型和耗时。这个问题反映了一个更迫切的需求:通过社区改善映射质量。社区参与和培训可以减少需要重新映射。强调特定于域的头n个列表可能需要更少的映射。少重新映射可以直接执行,但这可能间接导致一些变化中产生的前25位,因为类可能不会得到他们目前值得关注,和不适当的CNA映射可能会错过。因为社会的最终目标是能够生产更高质量的映射,更大的社区参与是必要的。
• 提高视图- 1003。这种观点没有得到密切审查在几年内,可能减少的能力,跟踪新CWE语料库的弱点。此外,一些高层类视图- 1003有几个孩子,可以添加到给用户更精确的选择。例如,CWE-20只有一个孩子在视图- 1003 CWE 4.8,但它可能是有用的,包括更具体的儿童相关的验证数量,等价,语法,等非正式,初步分析表明,这些变化可以显著影响排名连续波。
• 使用不同的视图除了视图执行“正常化”- 1003。这将导致明显的差异,这将使复制的结果更加困难。
• 全年可能做更多的定期重新映射,可以更及时的反馈NVD员工,必须和其他人,这样全社区的改进可以更快。这可能是一个方法来管理大量的当前压缩成一个短时间内重新映射。
• 结合链关系正确的方法论与NIST NVD分析团队和工作以及社区确定得分的最佳方法。

注意,即使这些变化最终是成功的生产和质量更好的映射,好处可能不会意识到,一段时间;例如,2022年排名前25位的发布日期,2022年的前6个月数据是使用老方法。

确认

2022 CWE排名前25位的团队包括(按字母顺序):亚历克•萨默斯凯思琳,康纳毛拉,大卫•罗斯伯格吉姆•巴里Jr。凯利托德,马林诺夫斯基路加福音,罗伯特·l·Heinemann, Jr .) Rushi Purohit,史蒂夫Christey绿青鳕,和特伦特DeLor。NIST NVD分析团队的成员,排名前25位的协调包括Aleena迪恩,克里斯托弗•特纳大卫·荣格罗伯特•拜尔斯谭雅布鲁尔,蒂姆•Pinelli和维迪雅Ananthakrishna。最后,也要感谢广大CWE社区提出改进过程。

存档

过去的版本CWE前25名中可用存档。