0
“人”這個字給了我們一個定義,區別于動物、植物,劃定了一群具有發達智慧擁有思維創造能力的生物,從命名的含義中,我們就明白~自己是自然造物中“最靚的崽”。
看來,在寫入信息之前,都要先對研究群體有個范圍劃定,而對于漏洞也不例外。嚴格意義上來說,漏洞就是一串代碼,一堆符號。在海量數據中,該如何區分?最簡單的辦法,就是建個安全漏洞庫。
CVE,這是一個被廣泛認同的信息安全漏洞的公共名稱,它可以幫助人們在各自獨立的漏洞數據庫和漏洞評估工具中共享數據。
所以,如果在一個漏洞報告中指明的某個漏洞有CVE名稱,你就可以快速地在任何其它CVE兼容的數據庫中找到相應修補的信息,解決安全問題。
Semmle被收購,CVE查詢提速
條目越多,其可能容納的漏洞類型就越多,對于用戶來說,獲取漏洞信息的途徑也就更加專一,可節省大量修復時間,而隨著微軟的這次收購,研究人員能夠在“全球最大同性交友平臺”GitHub 上更快地查詢開放的安全公告。
9月19日消息,微軟收購了代碼分析平臺供應商Semmle,并將后者與GitHub整合。
雷鋒網了解到,Semmle成立于2006年,其旨在讓查詢源代碼像任何其他類型的數據一樣工作。 據稱,谷歌、優步、美國宇航局和微軟都使用了Semmle產品以提高安全性,并參與開發眾多開源項目。
GitHub 的產品高級副總裁 Shanku Niyogi 稱,此次整合將把 Semmle 的 QL 技術集成到GitHub服務中,為用戶改進代碼開發和漏洞披露流程。
雷鋒網獲悉,QL技術通過查詢來識別漏洞及其變體,這種查詢方式可以在很多代碼庫中共享運行,從而解放了安全研究人員,使其可以專注于漏洞發挖掘的工作。
據悉,GitHub 計劃將 Semmle 集成到自身服務中并為3600萬名開發人員提供在產品發布前就檢查代碼bug 的服務。目前這一服務正處于早期階段。
此次整合, GitHub 已成為 CVE 編號管理機構(或簡稱為 CNA),簡言之,它能夠為漏洞分配 CVE 編號了。
這意味著研究人員、維護人員和開發人員能夠更好地協作修復安全問題,這使得漏洞報告、追蹤和修復變得更加容易。
從CVE到CWE
正所謂長江后浪推前浪,隨著CVE標準被廣泛使用,越來越多的漏洞不再“無家可歸”,但依舊存在著概念描述缺陷,比如,對那種看上去還不是漏洞卻極有可能成為漏洞的“崽”,我們應該怎么提醒大家呢?在這種情況下,CWE出現了。
CWE成立于2006年,建立之初分別借鑒了來自CVE(“Common Vulnerabilities & Exposures”公共漏洞和暴露),CLASP(Comprehensive Lightweight Application Security Process,全面輕量級應用安全過程)等組織對缺陷概念描述和缺陷分類。
鑒于CWE對源代碼缺陷描述的準確性和權威性,越來越多的源代碼缺陷檢測廠家,在產品和服務中引用CWE中的相關信息。CWE組織推出的“CWE兼容性計劃”分別在產品的輸出、對已知缺陷檢測能力、檢測結果輸出、CWE信息是否可查等幾方面,衡量產品或服務對CWE缺陷研究的支持情況。
很快,“CWE兼容”成為軟件安全類產品重要的標志之一。
“CWE和CVE 的不同之處在于,前者是漏洞的前兆。”MITRE組織的一名項目經理Chris Levendis 解釋稱,在適當的運營條件下,一個弱點就能夠編程可利用的漏洞。
雷鋒網得知,CVE中相當數量的漏洞的成因在CWE中都可以找到相應的條目。如在代碼層、應用層等多個方面的缺陷,從CWE角度看,正是由于CWE的一個或多個缺陷,從而形成了CVE的漏洞。
CWE的重要性可見一般。
也因此,會有不少CWE機構會發布CWE Top榜,用意很是明確,就是想告訴你:嘿,小心這也許是個漏洞哦!
今年也不例外,本周二專注政府、行業和學術信息安全內容的非營利性組織 MITRE CWE 團隊發布了 CWE Top 25 榜單,列出了25個最危險的軟件錯誤。
2019年 CWE Top 25 完整榜單如下:
值得一提的是,這是由MITRE繼2011年以來首次對該榜單的更新。其中包含了軟件實現中出現的bug、設計缺陷或其它錯誤,包括緩沖區溢出、路徑名稱遍歷錯誤、不必要的隨機化或可預測性、代碼評估和注入、缺乏數據驗證等。
相比2011年,該榜單中出現的1/3的弱點是最新出現的,此外也有像“無限制上傳具有危險類型的文件(CWE-434)”、“SQL注入(CWE-89)”和“OS命令注入(CWE-78)”這種8年一直名列榜單的弱點。
此外,近年的榜單編撰規則與2011年完全不同。Buttner表示,2019年以前的榜單基于編譯 CWE 列表的行業專家的主觀討論,而今年的榜單基于NVD 漏洞庫和CVSS 評分。
參考來源:代碼衛士《微軟收購 Semmle,GitHub 變身CVE 編號管理機構》;代碼衛士《時隔8年,MITRE再次發布 CWE Top 25 榜單》;CSDN博客;
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
