On this page
2021 CWE Top 25 软件脆弱点
On this page
背景
- CWE的全称是Common Weakness Enumeration,列举了过去两年中遇到的最常见和影响最大的软件安全问题。这些脆弱点通常很容易被发现、利用,并且可以让攻击者完全接管系统、窃取数据。 CWE Top 25 是一个宝贵的社区资源,可以帮助开发人员、测试人员和用户——以及项目经理、安全研究人员和教育工作者——深入了解最严重和当前的安全漏洞。 ^eb3843
- CWE 团队利用了美国国家标准与技术研究院 (NIST) 国家漏洞数据库 (NVD) 中的CVE数据以及CVSS分数与每个 CVE 记录相关联。将公式应用于数据,根据出现概率和严重程度对每个脆弱点进行评分。
The CWE Top 25
- 计算公式
- 评分公式用于计算脆弱点的排序顺序,该顺序考虑了漏洞出现的频率与严重程度,并对最小值和最大值进行了标准化。
- 为了确定频率,评分公式计算 CWE 映射到 NVD 内的 CVE 的次数:
- Freq = {count(CWE_X’ ∈ NVD) for each CWE_X’ in NVD}
- Fr(CWE_X) = (count(CWE_X ∈ NVD) - min(Freq)) / (max(Freq) - min(Freq))
- 评分公式中的另一个组成部分是严重程度,它由映射到特定 CWE 的所有 CVE 的平均 CVSS 分数表示。 下面的等式用于计算该值:
- Sv(CWE_X) = (average_CVSS_for_CWE_X - min(CVSS)) / (max(CVSS) - min(CVSS))
- 然后通过将严重程度的分数乘以频率分数来确定特定 CWE 呈现的排序分数:
- Score(CWE_X) = Fr(CWE_X) Sv(CWE_X) 100
参考资料
Edit this page
Last updated on 4/9/2023