SANS Top 25
Was ist SANS Top 25?
SANS Top 25Jährlich veröffentlichte Liste, gepflegt von MITRE und dem SANS Institute, die die gefährlichsten Software-Schwächen auf Basis realer CVE-Daten einstuft.
Die SANS Top 25, offiziell CWE Top 25 Most Dangerous Software Weaknesses, ist eine vom MITRE gemeinsam mit dem SANS Institute und der CWE-Community erstellte Liste. Sie reiht die Einträge der Common Weakness Enumeration (CWE) nach Häufigkeit und Schwere in realen Sicherheitslücken; Grundlage sind CVE-Datensätze, CVSS-Werte aus dem NVD und KEV-Indikatoren. Erfasst werden u. a. Schwächen wie Out-of-Bounds Write, Cross-Site Scripting, SQL Injection, Improper Authentication und Use After Free. Entwicklungsteams, Beschaffungsprogramme, Secure-Coding-Standards und AppSec-Werkzeuge nutzen die Liste, um Schutzmaßnahmen, Schulungen und Code-Reviews zu priorisieren. Sie wird jährlich aktualisiert.
● Beispiele
- 01
Ein Engineering-Team integriert in jeden Pull Request Lint-Regeln und SAST-Checks zu CWE-Top-25-Schwächen.
- 02
Eine Beschaffungsabteilung verlangt von Lieferanten Nachweise über Tests gegen die SANS-Top-25-Schwächen.
● Häufige Fragen
Was ist SANS Top 25?
Jährlich veröffentlichte Liste, gepflegt von MITRE und dem SANS Institute, die die gefährlichsten Software-Schwächen auf Basis realer CVE-Daten einstuft. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet SANS Top 25?
Jährlich veröffentlichte Liste, gepflegt von MITRE und dem SANS Institute, die die gefährlichsten Software-Schwächen auf Basis realer CVE-Daten einstuft.
Wie schützt man sich gegen SANS Top 25?
Schutzmaßnahmen gegen SANS Top 25 kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für SANS Top 25?
Übliche alternative Bezeichnungen: CWE Top 25, CWE Top 25 Most Dangerous Software Weaknesses.