Actualización de CWE MITRE Top 25 sobre errores en aplicaciones
El SANS Top 25 de CWE MITRE es una lista de los errores más importantes y generalizadas que pueden conducir a graves vulnerabilidades en el software. Ellos a menudo son fáciles de encontrar y fácil de explotar. Son peligrosos porque frecuentemente se permite a los atacantes tomar control el software completamente, robar datos, o evitar que el software funcione.
Este Top 25 es una herramienta para la educación y sensibilización y para ayudar a los programadores a prevenir todos los tipos de vulnerabilidades que afectan a la industria del software, identificando y evitando los errores y demasiado frecuentes que se producen.
Por otro lado, los clientes puede utilizar esta lista para pedir un software más seguro a sus proveedores. Los investigadores de seguridad también la pueden utilizar para centrarse en un subconjunto limitado pero importante, de todas las debilidades de seguridad conocidas. Por último, los administradores de programas y directores de TI pueden utilizar la lista para medir el progreso en sus esfuerzos por asegurar su software.
La lista es el resultado de la colaboración entre el Instituto SANS (que acaba de actualizar su TOP 20), MITRE, y muchos de los mejores expertos de seguridad de software en los EE.UU. y Europa. MITRE mantiene el sitio web de CWE con el apoyo de Department of Homeland Security's National Cyber Security. La lista completa contiene datos de más de 800 errores de programación, errores de diseño y errores en la arquitectura que pueden dar lugar a vulnerabilidades explotables.
Este Top 25 de 2011 introduce mejoras a la lista del año pasado, pero el espíritu y los objetivos siguen siendo los mismos. Este año, el Top 25 fue priorizado con las aportaciones de más de 20 organizaciones diferentes y cada debilidad fue evaluada en base a la prevalencia, importancia, y la probabilidad de explotación. Se utiliza el sistema de puntuación de debilidades comunes (CWS) para anotar y clasificar los resultados finales.
El Top 25 también abarca un pequeño grupo de los más eficaces "Monster mitigations", que ayudan a los desarrolladores a reducir o eliminar grupos enteros de los 25 principales puntos débiles, así como muchas de las debilidades documentadas por CWE.
Cristian de la Redacción de Segu-Info
Por otro lado, los clientes puede utilizar esta lista para pedir un software más seguro a sus proveedores. Los investigadores de seguridad también la pueden utilizar para centrarse en un subconjunto limitado pero importante, de todas las debilidades de seguridad conocidas. Por último, los administradores de programas y directores de TI pueden utilizar la lista para medir el progreso en sus esfuerzos por asegurar su software.
La lista es el resultado de la colaboración entre el Instituto SANS (que acaba de actualizar su TOP 20), MITRE, y muchos de los mejores expertos de seguridad de software en los EE.UU. y Europa. MITRE mantiene el sitio web de CWE con el apoyo de Department of Homeland Security's National Cyber Security. La lista completa contiene datos de más de 800 errores de programación, errores de diseño y errores en la arquitectura que pueden dar lugar a vulnerabilidades explotables.
Este Top 25 de 2011 introduce mejoras a la lista del año pasado, pero el espíritu y los objetivos siguen siendo los mismos. Este año, el Top 25 fue priorizado con las aportaciones de más de 20 organizaciones diferentes y cada debilidad fue evaluada en base a la prevalencia, importancia, y la probabilidad de explotación. Se utiliza el sistema de puntuación de debilidades comunes (CWS) para anotar y clasificar los resultados finales.
El Top 25 también abarca un pequeño grupo de los más eficaces "Monster mitigations", que ayudan a los desarrolladores a reducir o eliminar grupos enteros de los 25 principales puntos débiles, así como muchas de las debilidades documentadas por CWE.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!