0
“人”這個(gè)字給了我們一個(gè)定義,區(qū)別于動(dòng)物、植物,劃定了一群具有發(fā)達(dá)智慧擁有思維創(chuàng)造能力的生物,從命名的含義中,我們就明白~自己是自然造物中“最靚的崽”。
看來,在寫入信息之前,都要先對(duì)研究群體有個(gè)范圍劃定,而對(duì)于漏洞也不例外。嚴(yán)格意義上來說,漏洞就是一串代碼,一堆符號(hào)。在海量數(shù)據(jù)中,該如何區(qū)分?最簡單的辦法,就是建個(gè)安全漏洞庫。
CVE,這是一個(gè)被廣泛認(rèn)同的信息安全漏洞的公共名稱,它可以幫助人們?cè)诟髯元?dú)立的漏洞數(shù)據(jù)庫和漏洞評(píng)估工具中共享數(shù)據(jù)。
所以,如果在一個(gè)漏洞報(bào)告中指明的某個(gè)漏洞有CVE名稱,你就可以快速地在任何其它CVE兼容的數(shù)據(jù)庫中找到相應(yīng)修補(bǔ)的信息,解決安全問題。
Semmle被收購,CVE查詢提速
條目越多,其可能容納的漏洞類型就越多,對(duì)于用戶來說,獲取漏洞信息的途徑也就更加專一,可節(jié)省大量修復(fù)時(shí)間,而隨著微軟的這次收購,研究人員能夠在“全球最大同性交友平臺(tái)”GitHub 上更快地查詢開放的安全公告。
9月19日消息,微軟收購了代碼分析平臺(tái)供應(yīng)商Semmle,并將后者與GitHub整合。
雷鋒網(wǎng)了解到,Semmle成立于2006年,其旨在讓查詢?cè)创a像任何其他類型的數(shù)據(jù)一樣工作。 據(jù)稱,谷歌、優(yōu)步、美國宇航局和微軟都使用了Semmle產(chǎn)品以提高安全性,并參與開發(fā)眾多開源項(xiàng)目。
GitHub 的產(chǎn)品高級(jí)副總裁 Shanku Niyogi 稱,此次整合將把 Semmle 的 QL 技術(shù)集成到GitHub服務(wù)中,為用戶改進(jìn)代碼開發(fā)和漏洞披露流程。
雷鋒網(wǎng)獲悉,QL技術(shù)通過查詢來識(shí)別漏洞及其變體,這種查詢方式可以在很多代碼庫中共享運(yùn)行,從而解放了安全研究人員,使其可以專注于漏洞發(fā)挖掘的工作。
據(jù)悉,GitHub 計(jì)劃將 Semmle 集成到自身服務(wù)中并為3600萬名開發(fā)人員提供在產(chǎn)品發(fā)布前就檢查代碼bug 的服務(wù)。目前這一服務(wù)正處于早期階段。
此次整合, GitHub 已成為 CVE 編號(hào)管理機(jī)構(gòu)(或簡稱為 CNA),簡言之,它能夠?yàn)槁┒捶峙?CVE 編號(hào)了。
這意味著研究人員、維護(hù)人員和開發(fā)人員能夠更好地協(xié)作修復(fù)安全問題,這使得漏洞報(bào)告、追蹤和修復(fù)變得更加容易。
從CVE到CWE
正所謂長江后浪推前浪,隨著CVE標(biāo)準(zhǔn)被廣泛使用,越來越多的漏洞不再“無家可歸”,但依舊存在著概念描述缺陷,比如,對(duì)那種看上去還不是漏洞卻極有可能成為漏洞的“崽”,我們應(yīng)該怎么提醒大家呢?在這種情況下,CWE出現(xiàn)了。
CWE成立于2006年,建立之初分別借鑒了來自CVE(“Common Vulnerabilities & Exposures”公共漏洞和暴露),CLASP(Comprehensive Lightweight Application Security Process,全面輕量級(jí)應(yīng)用安全過程)等組織對(duì)缺陷概念描述和缺陷分類。
鑒于CWE對(duì)源代碼缺陷描述的準(zhǔn)確性和權(quán)威性,越來越多的源代碼缺陷檢測(cè)廠家,在產(chǎn)品和服務(wù)中引用CWE中的相關(guān)信息。CWE組織推出的“CWE兼容性計(jì)劃”分別在產(chǎn)品的輸出、對(duì)已知缺陷檢測(cè)能力、檢測(cè)結(jié)果輸出、CWE信息是否可查等幾方面,衡量產(chǎn)品或服務(wù)對(duì)CWE缺陷研究的支持情況。
很快,“CWE兼容”成為軟件安全類產(chǎn)品重要的標(biāo)志之一。
“CWE和CVE 的不同之處在于,前者是漏洞的前兆。”MITRE組織的一名項(xiàng)目經(jīng)理Chris Levendis 解釋稱,在適當(dāng)?shù)倪\(yùn)營條件下,一個(gè)弱點(diǎn)就能夠編程可利用的漏洞。
雷鋒網(wǎng)得知,CVE中相當(dāng)數(shù)量的漏洞的成因在CWE中都可以找到相應(yīng)的條目。如在代碼層、應(yīng)用層等多個(gè)方面的缺陷,從CWE角度看,正是由于CWE的一個(gè)或多個(gè)缺陷,從而形成了CVE的漏洞。
CWE的重要性可見一般。
也因此,會(huì)有不少CWE機(jī)構(gòu)會(huì)發(fā)布CWE Top榜,用意很是明確,就是想告訴你:嘿,小心這也許是個(gè)漏洞哦!
今年也不例外,本周二專注政府、行業(yè)和學(xué)術(shù)信息安全內(nèi)容的非營利性組織 MITRE CWE 團(tuán)隊(duì)發(fā)布了 CWE Top 25 榜單,列出了25個(gè)最危險(xiǎn)的軟件錯(cuò)誤。
2019年 CWE Top 25 完整榜單如下:
值得一提的是,這是由MITRE繼2011年以來首次對(duì)該榜單的更新。其中包含了軟件實(shí)現(xiàn)中出現(xiàn)的bug、設(shè)計(jì)缺陷或其它錯(cuò)誤,包括緩沖區(qū)溢出、路徑名稱遍歷錯(cuò)誤、不必要的隨機(jī)化或可預(yù)測(cè)性、代碼評(píng)估和注入、缺乏數(shù)據(jù)驗(yàn)證等。
相比2011年,該榜單中出現(xiàn)的1/3的弱點(diǎn)是最新出現(xiàn)的,此外也有像“無限制上傳具有危險(xiǎn)類型的文件(CWE-434)”、“SQL注入(CWE-89)”和“OS命令注入(CWE-78)”這種8年一直名列榜單的弱點(diǎn)。
此外,近年的榜單編撰規(guī)則與2011年完全不同。Buttner表示,2019年以前的榜單基于編譯 CWE 列表的行業(yè)專家的主觀討論,而今年的榜單基于NVD 漏洞庫和CVSS 評(píng)分。
參考來源:代碼衛(wèi)士《微軟收購 Semmle,GitHub 變身CVE 編號(hào)管理機(jī)構(gòu)》;代碼衛(wèi)士《時(shí)隔8年,MITRE再次發(fā)布 CWE Top 25 榜單》;CSDN博客;
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
