Holen Sie sich die neuesten wichtigen Update-Informationen für die Log4j-Sicherheitslücke. Sehen Sie sich an, wie Sie das Problem mithilfe der Parasoft-Anleitung beheben können. Erfahren Sie mehr >>

X
BLOG

Ein Überblick über die CWE Top 25 und On the Cusp Neueste Updates

Ein Überblick über die CWE Top 25 und On the Cusp Neueste Updates Lesezeit: 4 Minuten

Vor kurzem wurde ein Update an der vorgenommen CWE-Top 25 zum ersten Mal seit mehreren Jahren. Dieses Update enthielt eine neue Methode, um objektiv zu bestimmen, welche CWEs am häufigsten und gefährlichsten sind. Dieses Update bringt CWE in Einklang mit der sich ständig ändernden Anwendungssicherheitslandschaft und berücksichtigt echte Probleme, die heute in realen Anwendungen auftreten. Dieses Update enthielt auch Änderungen an der An der SpitzeListe von CWE, die die wesentlich erweitert Top 25 , und hellen sich wieder auf, wenn Wolken aufziehen. Mit der SnowVision hast du eine Skibrille, die optimale Sicht bei jedem Wetter ermöglicht. Top 40. Mehr dazu weiter unten.

Common Weakness Enumeration (CWE): Eine Liste der häufigsten Schwächen der Cybersicherheit

Die CWE oder Common Weakness Enumeration ist eine von der Community unterstützte Liste der häufigsten Schwachstellen im Bereich der Cybersicherheit. Es werden eine Vielzahl gefährlicher Softwareprobleme berücksichtigt, von denen über 800 von Speicherproblemen wie Pufferüberlauf bis hin zu fehlerhaften Datenproblemen wie SQL Injection (SQLI) reichen. Es ist vielleicht am bekanntesten für seine CWE-Top 25 Liste, die als verwendet wird sicherer Codierungsstandard.

Wie Sicherheitsschwächen katalogisiert werden

Das Interessante an der Liste der Schwachstellen von CWE ist, dass sie mit realen Problemen korrelieren, die in realen Softwaresystemen aufgetreten sind. Wann schlimme Dinge passieren In Bezug auf Cybersicherheit, z. B. bei einer Datenverletzung, einem gehackten Router oder einer anfälligen Überwachungskamera, wird ein Datensatz in der National Vulnerability Database oder NVD. (Ok, nicht alles landet in NVD - aber vielleicht sollte es so sein.) Jeder Eintrag ist mit einer eindeutigen Nummer namens a gekennzeichnet CVEoder Common Vulnerability Enumeration und erhält einen NVD-Score namens a CVSSDies ist das Common Vulnerability Scoring System, das zeigt, wie gefährlich das Sicherheitsproblem ist.

In diesem CVE wird das Sicherheitsproblem auf eine Weise beschrieben, mit der ähnliche Probleme mit anderen Produkten und Software verglichen werden können. Wenn ein Problem mit einer Heimsicherheitskamera und einem Office-Router auftritt, kann erkannt werden, dass das zugrunde liegende Problem dasselbe ist. Möglicherweise liegt das Problem darin, dass eine schwache Verschlüsselung vorliegt oder dass ein Standardkennwort programmiert wurde. Das CVE hilft uns also, Sicherheitsprobleme von Apfel zu Apfel und von Orangen zu Orangen zu diskutieren, damit wir besser verstehen, planen und reagieren können.

Jedes CVE wird schließlich mit CWE-IDs gefüllt, die mit der Stammschwäche im Code verbunden sind, die zu Sicherheitsproblemen im CVE führt, z. B. einer entdeckten Sicherheitsanfälligkeit in einem Router. Irgendwann führt eine Untersuchung zur Identifizierung des verantwortlichen Codes. Diese Grundursache wird anhand der Schwachstelle in der Software beschrieben, z. B. einer ungeprüften Eingabezeichenfolge, die von der Sicherheitsanfälligkeit ausgenutzt wurde.

Das ist ein langer Weg und mit zu vielen Akronymen, aber es bedeutet im Grunde, dass Sie veröffentlichte Sicherheitsprobleme tatsächlich mit der zugrunde liegenden Softwareschwäche im Code korrelieren können. Letztendlich können Sie als Entwickler die Probleme vermeiden, die bei realen Anwendungen und Geräten in der realen Welt auftreten.

Das Update: Änderungen an CWE-Top 25

Anfang 2019 fügten sie neue CWEs hinzu, die sich auf Qualität und Zuverlässigkeit beziehen. Mit der Zeit wird dies zunehmen. Diese beschränken sich vorerst hauptsächlich auf Sicherheitslücken. Wo fängst du an, wenn es so viele von ihnen gibt? Die CWE enthält eine Liste von Top 25 in dem Versuch, die kritischsten, wahrscheinlichsten und wirkungsvollsten Sicherheitslücken in Software zu ermitteln. Die Top 25 ist ein Ausgangspunkt. Teams, die bereits nach diesen Schwächen suchen, sollten die Liste fortsetzen. Aber wenn Sie noch nichts getan haben, ist es ein guter Anfang.

Der CWE-Top 25 ist bis Ende 2019 relativ statisch geblieben. 2019 hatten wir zum ersten Mal seit 2011 ein Update für CWE. Das gesamte CWE wird regelmäßig aktualisiert, die Top 25 haben jedoch nicht so viel zumindest bis jetzt.

Wie werden die gefährlichsten Themen ausgewählt?

Diese neue Liste basierte nicht nur auf der NVD, sondern auch auf realen Problemen, die intern in großen Organisationen aufgetreten sind und Probleme hatten, die nicht veröffentlicht oder in der NVD enthalten waren. Dies war eine Änderung des Ansatzes, da viele verschiedene Datenquellen berücksichtigt und aufgrund der Meinung der Branche eine gewisse Subjektivität hinzugefügt wurden.

Interessant am neuesten Update ist ein objektiverer Ansatz. Der Nachteil ist natürlich, dass wir möglicherweise etwas in dem Sinne verloren haben, dass wir keinen Zugriff auf die privaten Daten haben, die zur Erstellung der neuen Liste verwendet wurden. Der Profi ist, dass wir wissen, was die CWE-Top 25 repräsentiert - "die reale Liste und Reihenfolge der häufigsten Schwachstellen" - alle gemeldeten Schwachstellen, die in der National Vulnerability Database angegeben sind.

Die Platzierung eines CWE auf dem hat eine Bedeutung Top 25 - Es gibt ein relatives Gefährdungsniveau, das jeweils auf der CVSS-Bewertung basiert. Zum Beispiel ist CWE auf Position 25 bei weitem nicht so gefährlich wie Nummer eins, obwohl dies klar ist. Alle Schwächen sollten als gefährlich angesehen werden, sie sind alle schlecht und das ultimative Ziel ist es, sie zu beheben.

Das andere interessante daran CWE-Top 25 dass viele Leute sich dessen nicht bewusst sind, ist, dass es eine Sache gibt, die genannt wird An der Spitze. Dies sind die CWEs, die es fast bis zum geschafft haben Top 25, An der Spitze ist das, was ich gerne als ehrenwerte Erwähnungen oder vielleicht als unehrenhafte Erwähnungen bezeichne. Wenn Sie die Top 25 fertiggestellt haben, gehen Sie zu On the Cusp. Das ist das nächste, was wichtig ist.

Wenn Sie sich fragen, wo Sie anfangen sollen, können Sie die CWE-Top 25 ist ein guter Ausgangspunkt, egal welche Art von Anwendung Sie haben. Wenn Sie kurz davor sind, alle 25 größten Schwachstellen in Ihrer Software zu beseitigen, werfen Sie einen Blick auf die An der Spitze Regeln. Das CWE-Top 25 Auf Schwachstellen wird vom Underwriter's Laboratory verwiesen UL 2900Dies ist eine Cybersicherheitszertifizierung für verbundene Geräte. Ein weiterer großartiger Ort, um als nächstes zu gehen. Schauen Sie sich für Webanwendungen an OWASP und dem OWASP Top 10.

Wenn Sie ein Parasoft-Kunde oder ein Benutzer von statischen Analysetools sind und sich dessen nicht bewusst waren CWE-Top 25 Update, es ist ein guter Zeitpunkt, um Ihre Tool-Konfiguration zu überprüfen. Stellen Sie sicher, dass Sie die neueste CWE-Liste abdecken, da dies buchstäblich der Stand der Technik bei Sicherheitslücken in der Software ist.

In Zukunft ist es sinnvoll, den Standard im Auge zu behalten und Änderungen im Laufe der Zeit zu berücksichtigen. Für Werkzeughersteller ist es auch wichtig, sich an die neuesten CWE anzupassen. Da Sie sich in gewissem Maße darauf verlassen, dass Sie die Experten für die Unterstützung und Berichterstattung auf der Grundlage der neuen Regeln sind. Stellen Sie im Verlauf der sicheren Entwicklung sicher, dass Ihre Tools das O unterstützenn der Spitze Regeln, denn auch hier gibt es bei 25 keinen harten Stopp bei Sicherheitslücken.

Weitere Informationen zur CWE-Lösung von Parasoft finden Sie unter https://www.parasoft.com/solutions/compliance/cwe/.

Geschrieben von

Arthur Hicken

Arthur ist seit über 25 Jahren bei Parasoft im Bereich Software-Sicherheit und Testautomatisierung tätig. Er hilft bei der Erforschung neuer Methoden und Techniken (einschließlich 5 Patente) und hilft Kunden dabei, ihre Software-Praktiken zu verbessern.

Erhalten Sie die neuesten Nachrichten und Ressourcen zum Testen von Software sofort.