Un aperçu du Top 25 CWE et des dernières mises à jour à venir

Une mise à jour a été récemment apportée au Top 25 CWE pour la première fois depuis plusieurs années. Cette mise à jour comprenait une nouvelle méthodologie pour déterminer objectivement quels CWE sont les plus courants et les plus dangereux. Cette mise à jour permet à CWE de s'aligner sur le paysage de la sécurité des applications en constante évolution et de garder à l'esprit les problèmes réels qui se posent aujourd'hui dans les applications réelles. Cette mise à jour comprenait également des modifications du Sur la pointeliste de CWE, qui étend essentiellement la Haut 25 à la Haut 40. Plus d'informations ci-dessous.

Enumération des faiblesses communes (CWE): une liste des faiblesses les plus courantes en matière de cybersécurité

Le CWE ou Common Weakness Enumeration est une liste soutenue par la communauté des faiblesses les plus courantes en matière de cybersécurité. Il prend en compte une grande variété de problèmes logiciels dangereux, en fait plus de 800 d'entre eux allant des problèmes de mémoire comme le dépassement de la mémoire tampon aux problèmes de données corrompues comme l'injection SQL (SQLI). Il est peut-être le plus connu pour ses Top 25 CWE liste qui sert de norme de codage sécurisé.

Comment les faiblesses de sécurité sont cataloguées

Ce qui est intéressant à propos de la liste des faiblesses des CWE, c'est qu'ils ont une corrélation avec des problèmes réels qui se sont produits dans de vrais systèmes logiciels. Lorsque de mauvaises choses arrivent en cybersécurité, comme une violation de données, un routeur piraté ou une caméra de sécurité vulnérable, il y aura un enregistrement dans la base de données nationale sur les vulnérabilités, ou NVD. (Ok, tout ne se termine pas dans NVD - mais peut-être qu'il devrait.) Chaque entrée est identifiée par un numéro unique appelé un CVE, ou Common Vulnerability Enumeration et se voit attribuer un score NVD appelé CVSS, qui est le Common Vulnerability Scoring System pour montrer à quel point le problème de sécurité est dangereux.

Ce CVE décrit le problème de sécurité d'une manière qui peut être utilisée pour comparer des problèmes similaires entre d'autres produits et logiciels. Lorsqu'il y a un problème avec une caméra de sécurité domestique et avec un routeur de bureau, il est possible de reconnaître que le problème sous-jacent est le même. Le problème est peut-être que le cryptage est faible ou qu'un mot de passe par défaut y a été programmé. Ainsi, le CVE nous aide à discuter des problèmes de sécurité d'une manière pomme à pomme et oranges à oranges afin que nous puissions mieux comprendre, planifier et réagir.

Chaque CVE est finalement rempli d'ID CWE associés à la faiblesse racine du code qui donne lieu aux problèmes de sécurité dans le CVE, par exemple, une vulnérabilité découverte dans un routeur, à un moment donné, une enquête conduit à identifier le code responsable. Cette cause première est décrite en termes de faiblesse du logiciel, telle qu'une chaîne d'entrée non vérifiée que la vulnérabilité a exploitée.

Maintenant, c'est un peu long et avec trop d'acronymes, mais cela signifie essentiellement que vous pouvez en effet corréler les problèmes de sécurité publiés avec la faiblesse logicielle sous-jacente du code. En fin de compte, en tant que développeur, vous pouvez éviter les problèmes qui se posent aux applications et aux appareils réels dans le monde réel.

La mise à jour : modifications apportées au Top 25 CWE

Plus tôt en 2019, ils ont ajouté de nouveaux CWE liés à la qualité et à la fiabilité. Avec le temps, cela augmentera. Pour le moment, ceux-ci se limitent principalement à des faiblesses de sécurité. Étant donné qu'il y en a tellement, par où commencer? Le CWE comprend une liste de Haut 25 dans le but d'aider à déterminer les faiblesses de sécurité les plus critiques, probables et les plus impactantes des logiciels. Cependant, le Haut 25 est un point de départ. Pour les équipes qui vérifient déjà ces faiblesses, elles devraient continuer dans la liste. Mais si vous n'avez encore rien fait, c'est un bon point de départ.

Les Top 25 CWE est resté relativement statique jusqu'à la fin de 2019. En 2019, nous avons eu, pour la première fois, une mise à jour de CWE la première fois depuis 2011. L'ensemble de CWE est mis à jour régulièrement, mais le Top 25 n'en a pas autant, à du moins jusqu'à présent.

Comment les problèmes les plus dangereux sont sélectionnés

Cette nouvelle liste était basée non seulement sur le NVD, mais également sur des problèmes du monde réel trouvés en interne dans les grandes organisations qui avaient des problèmes qui n'étaient pas publiés ou inclus dans NVD. Il s'agissait d'un changement d'approche car il prenait en compte un grand nombre de sources de données différentes et ajoutait également une certaine subjectivité basée sur l'opinion de l'industrie.

Ce qui est intéressant avec la dernière mise à jour, c'est une approche plus objective. L'inconvénient, bien sûr, est que nous avons peut-être perdu quelque chose dans le sens où nous n'avons pas accès aux données privées utilisées pour générer la nouvelle liste. L'avantage est que nous savons ce que Top 25 CWE représente - «la liste réelle et l'ordre des faiblesses les plus courantes» - de toutes les vulnérabilités signalées telles qu'exprimées dans la base de données nationale sur les vulnérabilités.

Le placement d'un CWE sur le Haut 25 - il y a un niveau relatif de danger basé sur le score CVSS chacun. Par exemple, CWE à la position 25 n'est pas aussi dangereux que le numéro un, bien que pour être clair; toutes les faiblesses doivent être considérées comme dangereuses, elles sont toutes mauvaises et le but ultime est de les corriger.

L'autre chose intéressante à propos de Top 25 CWE que beaucoup de gens ignorent, c'est qu'il y a une chose appelée Sur la pointe. Ce sont les CWE qui ont presque réussi à atteindre le Haut 25, Sur la pointe c'est ce que j'aime appeler les mentions honorables, ou peut-être les mentions déshonorantes. Une fois que vous avez terminé l'extraction du top 25, accédez à À la pointe. C'est la prochaine chose qui est importante.

Si vous vous demandez par où commencer, le Top 25 CWE est un excellent point de départ, quel que soit le type d'application que vous avez. Si vous êtes sur le point d'éliminer toutes les 25 principales faiblesses de votre logiciel, jetez un œil à la Sur la pointe des règles. Le Top 25 CWE les faiblesses sont référencées par Underwriter's Laboratory UL 2900, qui est une certification de cybersécurité pour les appareils connectés. Un autre endroit idéal pour aller ensuite. Pour les applications Web, jetez un œil à OWASP les nouveautés OWASP Top 10.

Si vous êtes un client Parasoft ou un utilisateur d'outils d'analyse statique et que vous n'étiez pas au courant Top 25 CWE mise à jour, c'est le bon moment pour examiner la configuration de votre outil. Assurez-vous de couvrir la dernière liste CWE, car il s'agit littéralement de l'état de l'art en matière de faiblesses de sécurité logicielle.

À l'avenir, il est logique de garder un œil sur la norme et d'intégrer les changements au fil du temps. Il est également important que les fournisseurs d'outils se conforment à la dernière version de CWE. Puisque vous comptez sur eux, dans une certaine mesure, pour être les experts en matière de support et de reporting basés sur les nouvelles règles. Au fur et à mesure que vous progressez dans le développement sécurisé, assurez-vous que vos outils prennent en charge l'On la Cuspide règles, car, encore une fois, il n'y a pas d'arrêt dur dans les faiblesses de sécurité à 25 ans.

Par Arthur Hicken

Arthur est impliqué dans la sécurité logicielle et l'automatisation des tests chez Parasoft depuis plus de 25 ans, aidant à la recherche de nouvelles méthodes et techniques (dont 5 brevets) tout en aidant les clients à améliorer leurs pratiques logicielles.