信息來源：安全內(nèi)參

MITRE今天發(fā)布了最常見和最危險(xiǎn)的25個(gè)軟件漏洞列表（CWE Top25），這些漏洞很容易被發(fā)現(xiàn)和利用，潛在破壞力很大，而且在過去兩年中發(fā)布的軟件中很常見。

軟件漏洞指在軟件解決方案的代碼、架構(gòu)、實(shí)現(xiàn)或設(shè)計(jì)中發(fā)現(xiàn)的缺陷、錯(cuò)誤、漏洞或各種其他錯(cuò)誤。他們可能會將正在運(yùn)行的系統(tǒng)暴露在攻擊之下，從而使攻擊者能夠控制受影響的設(shè)備、訪問敏感信息或觸發(fā)拒絕服務(wù)條件。

創(chuàng)建CWE Top25列表時(shí)，MITRE分析了NIST的國家漏洞數(shù)據(jù)庫(NVD)和CISA的已知利用漏洞(KEV)目錄中的37,899個(gè)CVE的數(shù)據(jù)后，根據(jù)其普遍性和嚴(yán)重程度對每個(gè)漏洞進(jìn)行了評分。

“很多軟件從業(yè)人員會發(fā)現(xiàn)CWE Top 25榜單是一種實(shí)用且方便的資源，有助于降低風(fēng)險(xiǎn)，”MITRE表示?！斑@可能包括軟件架構(gòu)師、設(shè)計(jì)師、開發(fā)人員、測試人員、用戶、項(xiàng)目經(jīng)理、安全研究人員、教育工作者和標(biāo)準(zhǔn)開發(fā)組織(SDO)的貢獻(xiàn)者?！?

以下是最新發(fā)布的CWE Top25榜單和排名變化情況：