“人”這個字給了我們一個定義，區(qū)別于動物、植物，劃定了一群具有發(fā)達智慧擁有思維創(chuàng)造能力的生物，從命名的含義中，我們就明白~自己是自然造物中“最靚的崽”。

看來，在寫入信息之前，都要先對研究群體有個范圍劃定，而對于漏洞也不例外。嚴格意義上來說，漏洞就是一串代碼，一堆符號。在海量數(shù)據(jù)中，該如何區(qū)分？最簡單的辦法，就是建個安全漏洞庫。

CVE，這是一個被廣泛認同的信息安全漏洞的公共名稱，它可以幫助人們在各自獨立的漏洞數(shù)據(jù)庫和漏洞評估工具中共享數(shù)據(jù)。

所以，如果在一個漏洞報告中指明的某個漏洞有CVE名稱，你就可以快速地在任何其它CVE兼容的數(shù)據(jù)庫中找到相應修補的信息，解決安全問題。

Semmle被收購，CVE查詢提速

條目越多，其可能容納的漏洞類型就越多，對于用戶來說，獲取漏洞信息的途徑也就更加專一，可節(jié)省大量修復時間，而隨著微軟的這次收購，研究人員能夠在“全球最大同性交友平臺”GitHub 上更快地查詢開放的安全公告。

9月19日消息，微軟收購了代碼分析平臺供應商Semmle，并將后者與GitHub整合。

雷鋒網(wǎng)了解到，Semmle成立于2006年，其旨在讓查詢源代碼像任何其他類型的數(shù)據(jù)一樣工作。 據(jù)稱，谷歌、優(yōu)步、美國宇航局和微軟都使用了Semmle產(chǎn)品以提高安全性，并參與開發(fā)眾多開源項目。

GitHub 的產(chǎn)品高級副總裁 Shanku Niyogi 稱，此次整合將把 Semmle 的 QL 技術集成到GitHub服務中，為用戶改進代碼開發(fā)和漏洞披露流程。

雷鋒網(wǎng)獲悉，QL技術通過查詢來識別漏洞及其變體，這種查詢方式可以在很多代碼庫中共享運行，從而解放了安全研究人員，使其可以專注于漏洞發(fā)挖掘的工作。

據(jù)悉，GitHub 計劃將 Semmle 集成到自身服務中并為3600萬名開發(fā)人員提供在產(chǎn)品發(fā)布前就檢查代碼bug 的服務。目前這一服務正處于早期階段。

此次整合， GitHub 已成為 CVE 編號管理機構（或簡稱為 CNA），簡言之，它能夠為漏洞分配 CVE 編號了。

這意味著研究人員、維護人員和開發(fā)人員能夠更好地協(xié)作修復安全問題，這使得漏洞報告、追蹤和修復變得更加容易。

從CVE到CWE

正所謂長江后浪推前浪，隨著CVE標準被廣泛使用，越來越多的漏洞不再“無家可歸”，但依舊存在著概念描述缺陷，比如，對那種看上去還不是漏洞卻極有可能成為漏洞的“崽”，我們應該怎么提醒大家呢？在這種情況下，CWE出現(xiàn)了。

CWE成立于2006年，建立之初分別借鑒了來自CVE（“Common Vulnerabilities & Exposures”公共漏洞和暴露），CLASP（Comprehensive Lightweight Application Security Process，全面輕量級應用安全過程)等組織對缺陷概念描述和缺陷分類。

鑒于CWE對源代碼缺陷描述的準確性和權威性，越來越多的源代碼缺陷檢測廠家，在產(chǎn)品和服務中引用CWE中的相關信息。CWE組織推出的“CWE兼容性計劃”分別在產(chǎn)品的輸出、對已知缺陷檢測能力、檢測結果輸出、CWE信息是否可查等幾方面，衡量產(chǎn)品或服務對CWE缺陷研究的支持情況。

很快，“CWE兼容”成為軟件安全類產(chǎn)品重要的標志之一。

“CWE和CVE 的不同之處在于，前者是漏洞的前兆?！盡ITRE組織的一名項目經(jīng)理Chris Levendis 解釋稱，在適當?shù)倪\營條件下，一個弱點就能夠編程可利用的漏洞。

雷鋒網(wǎng)得知，CVE中相當數(shù)量的漏洞的成因在CWE中都可以找到相應的條目。如在代碼層、應用層等多個方面的缺陷，從CWE角度看，正是由于CWE的一個或多個缺陷，從而形成了CVE的漏洞。

CWE的重要性可見一般。

也因此，會有不少CWE機構會發(fā)布CWE Top榜，用意很是明確，就是想告訴你：嘿，小心這也許是個漏洞哦！

今年也不例外，本周二專注政府、行業(yè)和學術信息安全內(nèi)容的非營利性組織 MITRE CWE 團隊發(fā)布了 CWE Top 25 榜單，列出了25個最危險的軟件錯誤。

2019年 CWE Top 25 完整榜單如下：

值得一提的是，這是由MITRE繼2011年以來首次對該榜單的更新。其中包含了軟件實現(xiàn)中出現(xiàn)的bug、設計缺陷或其它錯誤，包括緩沖區(qū)溢出、路徑名稱遍歷錯誤、不必要的隨機化或可預測性、代碼評估和注入、缺乏數(shù)據(jù)驗證等。

相比2011年，該榜單中出現(xiàn)的1/3的弱點是最新出現(xiàn)的，此外也有像“無限制上傳具有危險類型的文件(CWE-434)”、“SQL注入(CWE-89)”和“OS命令注入(CWE-78)”這種8年一直名列榜單的弱點。

此外，近年的榜單編撰規(guī)則與2011年完全不同。Buttner表示，2019年以前的榜單基于編譯 CWE 列表的行業(yè)專家的主觀討論，而今年的榜單基于NVD 漏洞庫和CVSS 評分。

參考來源：代碼衛(wèi)士《微軟收購 Semmle，GitHub 變身CVE 編號管理機構》；代碼衛(wèi)士《時隔8年，MITRE再次發(fā)布 CWE Top 25 榜單》；CSDN博客；

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。