近日，美國非盈利性研究機構(gòu)MITRE發(fā)布了2023版軟件安全安全缺陷清單（CWE  Top25），對過去兩年中嚴重危害軟件應(yīng)用安全的25個安全缺陷進行了分析和評價。

軟件安全缺陷涉及一系列廣泛的問題，包括軟件的架構(gòu)設(shè)計和代碼實現(xiàn)過程中存在的缺陷、瑕疵、漏洞和錯誤等。這些安全缺陷可能導(dǎo)致軟件在運行過程中出現(xiàn)嚴重的安全隱患和漏洞。攻擊者可以利用這些缺陷來控制受影響的系統(tǒng)、竊取數(shù)據(jù)或破壞正常的生產(chǎn)活動。

MITRE研究人員表示，在編制這份軟件安全缺陷清單的過程中，他們重點分析了NIST漏洞數(shù)據(jù)庫（NVD）中2021-2022年里所發(fā)現(xiàn)和報告的43996個CVE條目，特別是其中被添加到CISA（美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）已知利用漏洞（KEV）目錄中的CVE記錄，然后根據(jù)相關(guān)漏洞的嚴重程度和流行程度進行了綜合評分。今年清單中所收錄的25個安全缺陷之所以很危險，是由于它們均實際產(chǎn)生了重大的安全性影響，并且廣泛出現(xiàn)近兩年所發(fā)布的軟件系統(tǒng)中。

對于應(yīng)用軟件的架構(gòu)師、設(shè)計師、開發(fā)人員和使用者而言，這份清單將是一種實用且方便的參考資源，有助于降低風(fēng)險。以下是今年清單收錄的Top25安全缺陷具體信息：

據(jù)了解，MITRE研究人員在接下來一段時間里，還將繼續(xù)發(fā)布一系列關(guān)于CWE Top 25方法、漏洞映射趨勢及其他實用信息的報告，旨在進一步闡明加強軟件缺陷管理的作用和方法。

參考鏈接：

https://www.bleepingcomputer.com/news/security/mitre-releases-new-list-of-top-25-most-dangerous-software-bugs/