“人”這個(gè)字給了我們一個(gè)定義，區(qū)別于動(dòng)物、植物，劃定了一群具有發(fā)達(dá)智慧擁有思維創(chuàng)造能力的生物，從命名的含義中，我們就明白~自己是自然造物中“最靚的崽”。

看來，在寫入信息之前，都要先對(duì)研究群體有個(gè)范圍劃定，而對(duì)于漏洞也不例外。

嚴(yán)格意義上來說，漏洞就是一串代碼，一堆符號(hào)。在海量數(shù)據(jù)中，該如何區(qū)分？最簡(jiǎn)單的辦法，就是建個(gè)安全漏洞庫。

CVE，這是一個(gè)被廣泛認(rèn)同的信息安全漏洞的公共名稱，它可以幫助人們?cè)诟髯元?dú)立的漏洞數(shù)據(jù)庫和漏洞評(píng)估工具中共享數(shù)據(jù)。

所以，如果在一個(gè)漏洞報(bào)告中指明的某個(gè)漏洞有CVE名稱，你就可以快速地在任何其它CVE兼容的數(shù)據(jù)庫中找到相應(yīng)修補(bǔ)的信息，解決安全問題。

Semmle被收購，CVE查詢提速

條目越多，其可能容納的漏洞類型就越多，對(duì)于用戶來說，獲取漏洞信息的途徑也就更加專一，可節(jié)省大量修復(fù)時(shí)間，而隨著微軟的這次收購，研究人員能夠在“全球最大同性交友平臺(tái)”GitHub 上更快地查詢開放的安全公告。

9月19日消息，微軟收購了代碼分析平臺(tái)供應(yīng)商Semmle，并將后者與GitHub整合。

Semmle成立于2006年，其旨在讓查詢?cè)创a像任何其他類型的數(shù)據(jù)一樣工作。 據(jù)稱，谷歌、優(yōu)步、美國宇航局和微軟都使用了Semmle產(chǎn)品以提高安全性，并參與開發(fā)眾多開源項(xiàng)目。

GitHub 的產(chǎn)品高級(jí)副總裁 Shanku Niyogi 稱，此次整合將把 Semmle 的 QL 技術(shù)集成到GitHub服務(wù)中，為用戶改進(jìn)代碼開發(fā)和漏洞披露流程。

QL技術(shù)通過查詢來識(shí)別漏洞及其變體，這種查詢方式可以在很多代碼庫中共享運(yùn)行，從而解放了安全研究人員，使其可以專注于漏洞發(fā)挖掘的工作。

據(jù)悉，GitHub 計(jì)劃將 Semmle 集成到自身服務(wù)中并為3600萬名開發(fā)人員提供在產(chǎn)品發(fā)布前就檢查代碼bug 的服務(wù)。目前這一服務(wù)正處于早期階段。

此次整合， GitHub 已成為 CVE 編號(hào)管理機(jī)構(gòu)（或簡(jiǎn)稱為 CNA），簡(jiǎn)言之，它能夠?yàn)槁┒捶峙?CVE 編號(hào)了。

這意味著研究人員、維護(hù)人員和開發(fā)人員能夠更好地協(xié)作修復(fù)安全問題，這使得漏洞報(bào)告、追蹤和修復(fù)變得更加容易。

從CVE到CWE

正所謂長(zhǎng)江后浪推前浪，隨著CVE標(biāo)準(zhǔn)被廣泛使用，越來越多的漏洞不再“無家可歸”，但依舊存在著概念描述缺陷，比如，對(duì)那種看上去還不是漏洞卻極有可能成為漏洞的“崽”，我們應(yīng)該怎么提醒大家呢？在這種情況下，CWE出現(xiàn)了。

CWE成立于2006年，建立之初分別借鑒了來自CVE（“Common Vulnerabilities & Exposures”公共漏洞和暴露）、CLASP（Comprehensive Lightweight Application Security Process，全面輕量級(jí)應(yīng)用安全過程)等組織對(duì)缺陷概念描述和缺陷分類。

鑒于CWE對(duì)源代碼缺陷描述的準(zhǔn)確性和權(quán)威性，越來越多的源代碼缺陷檢測(cè)廠家，在產(chǎn)品和服務(wù)中引用CWE中的相關(guān)信息。

CWE組織推出的“CWE兼容性計(jì)劃”分別在產(chǎn)品的輸出、對(duì)已知缺陷檢測(cè)能力、檢測(cè)結(jié)果輸出、CWE信息是否可查等幾方面，衡量產(chǎn)品或服務(wù)對(duì)CWE缺陷研究的支持情況。

很快，“CWE兼容”成為軟件安全類產(chǎn)品重要的標(biāo)志之一。

“CWE和CVE 的不同之處在于，前者是漏洞的前兆?！盡ITRE組織的一名項(xiàng)目經(jīng)理Chris Levendis 解釋稱，在適當(dāng)?shù)倪\(yùn)營條件下，一個(gè)弱點(diǎn)就能夠編程可利用的漏洞。

CVE中相當(dāng)數(shù)量的漏洞的成因在CWE中都可以找到相應(yīng)的條目。如在代碼層、應(yīng)用層等多個(gè)方面的缺陷，從CWE角度看，正是由于CWE的一個(gè)或多個(gè)缺陷，從而形成了CVE的漏洞。

CWE的重要性可見一般。

也因此，會(huì)有不少CWE機(jī)構(gòu)會(huì)發(fā)布CWE Top榜，用意很是明確，就是想告訴你：嘿，小心這也許是個(gè)漏洞哦！

今年也不例外，本周二專注政府、行業(yè)和學(xué)術(shù)信息安全內(nèi)容的非營利性組織 MITRE CWE 團(tuán)隊(duì)發(fā)布了 CWE Top 25 榜單，列出了25個(gè)最危險(xiǎn)的軟件錯(cuò)誤。

2019年 CWE Top 25 完整榜單如下：

值得一提的是，這是由MITRE繼2011年以來首次對(duì)該榜單的更新。其中包含了軟件實(shí)現(xiàn)中出現(xiàn)的bug、設(shè)計(jì)缺陷或其它錯(cuò)誤，包括緩沖區(qū)溢出、路徑名稱遍歷錯(cuò)誤、不必要的隨機(jī)化或可預(yù)測(cè)性、代碼評(píng)估和注入、缺乏數(shù)據(jù)驗(yàn)證等。

相比2011年，該榜單中出現(xiàn)的1/3的弱點(diǎn)是最新出現(xiàn)的，此外也有像“無限制上傳具有危險(xiǎn)類型的文件(CWE-434)”、“SQL注入(CWE-89)”和“OS命令注入(CWE-78)”這種8年一直名列榜單的弱點(diǎn)。

此外，近年的榜單編撰規(guī)則與2011年完全不同。Buttner表示，2019年以前的榜單基于編譯 CWE 列表的行業(yè)專家的主觀討論，而今年的榜單基于NVD 漏洞庫和CVSS 評(píng)分。