全球最大“同性交友网站”：变身漏洞管理者

“人”这个字给了我们一个定义，区别于动物、植物，划定了一群具有发达智慧拥有思维创造能力的生物，从命名的含义中，我们就明白~自己是自然造物中“最靓的崽”。

看来，在写入信息之前，都要先对研究群体有个范围划定，而对于漏洞也不例外。

严格意义上来说，漏洞就是一串代码，一堆符号。在海量数据中，该如何区分？最简单的办法，就是建个安全漏洞库。

CVE，这是一个被广泛认同的信息安全漏洞的公共名称，它可以帮助人们在各自独立的漏洞数据库和漏洞评估工具中共享数据。

所以，如果在一个漏洞报告中指明的某个漏洞有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。

Semmle被收购，CVE查询提速

条目越多，其可能容纳的漏洞类型就越多，对于用户来说，获取漏洞信息的途径也就更加专一，可节省大量修复时间，而随着微软的这次收购，研究人员能够在“全球最大同性交友平台”GitHub 上更快地查询开放的安全公告。

9月19日消息，微软收购了代码分析平台供应商Semmle，并将后者与GitHub整合。

Semmle成立于2006年，其旨在让查询源代码像任何其他类型的数据一样工作。 据称，谷歌、优步、美国宇航局和微软都使用了Semmle产品以提高安全性，并参与开发众多开源项目。

GitHub 的产品高级副总裁 Shanku Niyogi 称，此次整合将把 Semmle 的 QL 技术集成到GitHub服务中，为用户改进代码开发和漏洞披露流程。

QL技术通过查询来识别漏洞及其变体，这种查询方式可以在很多代码库中共享运行，从而解放了安全研究人员，使其可以专注于漏洞发挖掘的工作。

据悉，GitHub 计划将 Semmle 集成到自身服务中并为3600万名开发人员提供在产品发布前就检查代码bug 的服务。目前这一服务正处于早期阶段。

此次整合， GitHub 已成为 CVE 编号管理机构（或简称为 CNA），简言之，它能够为漏洞分配 CVE 编号了。

这意味着研究人员、维护人员和开发人员能够更好地协作修复安全问题，这使得漏洞报告、追踪和修复变得更加容易。

从CVE到CWE

正所谓长江后浪推前浪，随着CVE标准被广泛使用，越来越多的漏洞不再“无家可归”，但依旧存在着概念描述缺陷，比如，对那种看上去还不是漏洞却极有可能成为漏洞的“崽”，我们应该怎么提醒大家呢？在这种情况下，CWE出现了。

CWE成立于2006年，建立之初分别借鉴了来自CVE（“Common Vulnerabilities & Exposures”公共漏洞和暴露）、CLASP（Comprehensive Lightweight Application Security Process，全面轻量级应用安全过程)等组织对缺陷概念描述和缺陷分类。

鉴于CWE对源代码缺陷描述的准确性和权威性，越来越多的源代码缺陷检测厂家，在产品和服务中引用CWE中的相关信息。

CWE组织推出的“CWE兼容性计划”分别在产品的输出、对已知缺陷检测能力、检测结果输出、CWE信息是否可查等几方面，衡量产品或服务对CWE缺陷研究的支持情况。

很快，“CWE兼容”成为软件安全类产品重要的标志之一。

“CWE和CVE 的不同之处在于，前者是漏洞的前兆。”MITRE组织的一名项目经理Chris Levendis 解释称，在适当的运营条件下，一个弱点就能够编程可利用的漏洞。

CVE中相当数量的漏洞的成因在CWE中都可以找到相应的条目。如在代码层、应用层等多个方面的缺陷，从CWE角度看，正是由于CWE的一个或多个缺陷，从而形成了CVE的漏洞。

CWE的重要性可见一般。

也因此，会有不少CWE机构会发布CWE Top榜，用意很是明确，就是想告诉你：嘿，小心这也许是个漏洞哦！

今年也不例外，本周二专注政府、行业和学术信息安全内容的非营利性组织 MITRE CWE 团队发布了 CWE Top 25 榜单，列出了25个最危险的软件错误。

2019年 CWE Top 25 完整榜单如下：

值得一提的是，这是由MITRE继2011年以来首次对该榜单的更新。其中包含了软件实现中出现的bug、设计缺陷或其它错误，包括缓冲区溢出、路径名称遍历错误、不必要的随机化或可预测性、代码评估和注入、缺乏数据验证等。

相比2011年，该榜单中出现的1/3的弱点是最新出现的，此外也有像“无限制上传具有危险类型的文件(CWE-434)”、“SQL注入(CWE-89)”和“OS命令注入(CWE-78)”这种8年一直名列榜单的弱点。

此外，近年的榜单编撰规则与2011年完全不同。Buttner表示，2019年以前的榜单基于编译 CWE 列表的行业专家的主观讨论，而今年的榜单基于NVD 漏洞库和CVSS 评分。