MITRE发布2019 CWE Top 25最危险的软件错误榜单草案

MITRE是一家美国的非盈利组织，也是运维CVE漏洞数据库背后的组织。今年9月份MITRE在其官 发布了2019 CWE Top 25最危险的软件错误榜单（2019 CWE Top 25 Most Dangerous Software Errors）草案，参见表1。MITRE上一次发布Top 25软件错误榜单是在2011年。

表12019 CWE Top 25最危险的软件错误榜单：

2019 CWE TOP 5

2019 CWE TOP 5依次为CWE-119对内存缓冲区内的操作限制不当，CWE-79跨站脚本，CWE-20输入验证不当，CWE-200信息泄露和CWE-125越界读取。既然2019 CWE Top25是基于2017年度和2018年度的CVE数据，笔者就去NVD数据库看了下这两个年度TOP 5相应的CVE数量，并统计了这两年内相应的CVE数量占比，参见表2。

表2 2019 CWE TOP 5相应CVE数量和占比（20170101-20181231）

排名 CWE-ID CWE类型 CVE数量 占比 1 CWE-119 对内存缓冲区内的操作限制不当 4277 13.73% 2 CWE-79 跨站脚本 3428 11.00% 3 CWE-20 输入验证不当 2418 7.76% 4 CWE-200 信息泄露 2783 8.93% 5 CWE-125 越界读取 1012 3.25%

NVD数据库中2017年-2018年共收入了31159个CVE漏洞，而MITRE 2019 CWE Top1 至Top5的CVE总数量为13918，总占比达到了44.67%。

毫无疑问，这些缺陷都是广泛存在的，并可能导致严重的软件漏洞。黑客通过成功利用这些漏洞可以控制受影响的系统，窃取敏感数据或者导致拒绝服务，进而造成 络风险，甚至引起 络攻击。例如，在2017年的永恒之蓝 络攻击事件中，遭到黑客利用的CVE-2017-0144的漏洞类型即为CWE-20输入验证不当。

MITRE CWE Top25对于开发和安全来说都是具有参考意义的资源，但是这份榜单也不是放之四海而皆准，每个组织都应该根据自己的情况，基于自身的标准来创建自己的缺陷列表和策略。

MITRE，2019 CWE Top 25 Most Dangerous Software Errors，https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html；

MITRE，CWE Top 25 Archive，https://cwe.mitre.org/top25/archive/；