当前位置:首页 > 芯闻号 > 充电吧
[导读]“人”这个字给了我们一个定义,区别于动物、植物,划定了一群具有发达智慧拥有思维创造能力的生物,从命名的含义中,我们就明白~自己是自然造物中“最靓的崽”。 看来,在写入信息之前,都要先对研究群体有个范围

“人”这个字给了我们一个定义,区别于动物、植物,划定了一群具有发达智慧拥有思维创造能力的生物,从命名的含义中,我们就明白~自己是自然造物中“最靓的崽”。

看来,在写入信息之前,都要先对研究群体有个范围划定,而对于漏洞也不例外。

严格意义上来说,漏洞就是一串代码,一堆符号。在海量数据中,该如何区分?最简单的办法,就是建个安全漏洞库。

CVE,这是一个被广泛认同的信息安全漏洞的公共名称,它可以帮助人们在各自独立的漏洞数据库和漏洞评估工具中共享数据。

所以,如果在一个漏洞报告中指明的某个漏洞有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。

Semmle被收购,CVE查询提速

条目越多,其可能容纳的漏洞类型就越多,对于用户来说,获取漏洞信息的途径也就更加专一,可节省大量修复时间,而随着微软的这次收购,研究人员能够在“全球最大同性交友平台”GitHub 上更快地查询开放的安全公告。

9月19日消息,微软收购了代码分析平台供应商Semmle,并将后者与GitHub整合。

Semmle成立于2006年,其旨在让查询源代码像任何其他类型的数据一样工作。 据称,谷歌、优步、美国宇航局和微软都使用了Semmle产品以提高安全性,并参与开发众多开源项目。

GitHub 的产品高级副总裁 Shanku Niyogi 称,此次整合将把 Semmle 的 QL 技术集成到GitHub服务中,为用户改进代码开发和漏洞披露流程。

QL技术通过查询来识别漏洞及其变体,这种查询方式可以在很多代码库中共享运行,从而解放了安全研究人员,使其可以专注于漏洞发挖掘的工作。

据悉,GitHub 计划将 Semmle 集成到自身服务中并为3600万名开发人员提供在产品发布前就检查代码bug 的服务。目前这一服务正处于早期阶段。

此次整合, GitHub 已成为 CVE 编号管理机构(或简称为 CNA),简言之,它能够为漏洞分配 CVE 编号了。

这意味着研究人员、维护人员和开发人员能够更好地协作修复安全问题,这使得漏洞报告、追踪和修复变得更加容易。

从CVE到CWE

正所谓长江后浪推前浪,随着CVE标准被广泛使用,越来越多的漏洞不再“无家可归”,但依旧存在着概念描述缺陷,比如,对那种看上去还不是漏洞却极有可能成为漏洞的“崽”,我们应该怎么提醒大家呢?在这种情况下,CWE出现了。

CWE成立于2006年,建立之初分别借鉴了来自CVE(“Common Vulnerabilities & Exposures”公共漏洞和暴露)、CLASP(Comprehensive Lightweight Application Security Process,全面轻量级应用安全过程)等组织对缺陷概念描述和缺陷分类。

鉴于CWE对源代码缺陷描述的准确性和权威性,越来越多的源代码缺陷检测厂家,在产品和服务中引用CWE中的相关信息。

CWE组织推出的“CWE兼容性计划”分别在产品的输出、对已知缺陷检测能力、检测结果输出、CWE信息是否可查等几方面,衡量产品或服务对CWE缺陷研究的支持情况。

很快,“CWE兼容”成为软件安全类产品重要的标志之一。

“CWE和CVE 的不同之处在于,前者是漏洞的前兆。”MITRE组织的一名项目经理Chris Levendis 解释称,在适当的运营条件下,一个弱点就能够编程可利用的漏洞。

CVE中相当数量的漏洞的成因在CWE中都可以找到相应的条目。如在代码层、应用层等多个方面的缺陷,从CWE角度看,正是由于CWE的一个或多个缺陷,从而形成了CVE的漏洞。

CWE的重要性可见一般。

也因此,会有不少CWE机构会发布CWE Top榜,用意很是明确,就是想告诉你:嘿,小心这也许是个漏洞哦!

今年也不例外,本周二专注政府、行业和学术信息安全内容的非营利性组织 MITRE CWE 团队发布了 CWE Top 25 榜单,列出了25个最危险的软件错误。

2019年 CWE Top 25 完整榜单如下:

值得一提的是,这是由MITRE继2011年以来首次对该榜单的更新。其中包含了软件实现中出现的bug、设计缺陷或其它错误,包括缓冲区溢出、路径名称遍历错误、不必要的随机化或可预测性、代码评估和注入、缺乏数据验证等。

相比2011年,该榜单中出现的1/3的弱点是最新出现的,此外也有像“无限制上传具有危险类型的文件(CWE-434)”、“SQL注入(CWE-89)”和“OS命令注入(CWE-78)”这种8年一直名列榜单的弱点。

此外,近年的榜单编撰规则与2011年完全不同。Buttner表示,2019年以前的榜单基于编译 CWE 列表的行业专家的主观讨论,而今年的榜单基于NVD 漏洞库和CVSS 评分。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭