近日，美國非盈利性研究機(jī)構(gòu)MITRE發(fā)布了2023版軟件安全安全缺陷清單（CWE  Top25），對過去兩年中嚴(yán)重危害軟件應(yīng)用安全的25個(gè)安全缺陷進(jìn)行了分析和評價(jià)。

軟件安全缺陷涉及一系列廣泛的問題，包括軟件的架構(gòu)設(shè)計(jì)和代碼實(shí)現(xiàn)過程中存在的缺陷、瑕疵、漏洞和錯(cuò)誤等。這些安全缺陷可能導(dǎo)致軟件在運(yùn)行過程中出現(xiàn)嚴(yán)重的安全隱患和漏洞。攻擊者可以利用這些缺陷來控制受影響的系統(tǒng)、竊取數(shù)據(jù)或破壞正常的生產(chǎn)活動。

MITRE研究人員表示，在編制這份軟件安全缺陷清單的過程中，他們重點(diǎn)分析了NIST漏洞數(shù)據(jù)庫（NVD）中2021-2022年里所發(fā)現(xiàn)和報(bào)告的43996個(gè)CVE條目，特別是其中被添加到CISA（美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）已知利用漏洞（KEV）目錄中的CVE記錄，然后根據(jù)相關(guān)漏洞的嚴(yán)重程度和流行程度進(jìn)行了綜合評分。今年清單中所收錄的25個(gè)安全缺陷之所以很危險(xiǎn)，是由于它們均實(shí)際產(chǎn)生了重大的安全性影響，并且廣泛出現(xiàn)近兩年所發(fā)布的軟件系統(tǒng)中。

對于應(yīng)用軟件的架構(gòu)師、設(shè)計(jì)師、開發(fā)人員和使用者而言，這份清單將是一種實(shí)用且方便的參考資源，有助于降低風(fēng)險(xiǎn)。以下是今年清單收錄的Top25安全缺陷具體信息：

據(jù)了解，MITRE研究人員在接下來一段時(shí)間里，還將繼續(xù)發(fā)布一系列關(guān)于CWE Top 25方法、漏洞映射趨勢及其他實(shí)用信息的報(bào)告，旨在進(jìn)一步闡明加強(qiáng)軟件缺陷管理的作用和方法。

參考鏈接：

https://www.bleepingcomputer.com/news/security/mitre-releases-new-list-of-top-25-most-dangerous-software-bugs/