SANS Top 25
Qu'est-ce que SANS Top 25 ?
SANS Top 25Liste publiée chaque année et maintenue par le MITRE avec le SANS Institute, classant les faiblesses logicielles les plus dangereuses à partir de données réelles de CVE.
Le SANS Top 25, officiellement CWE Top 25 Most Dangerous Software Weaknesses, est une liste élaborée par le MITRE en collaboration avec le SANS Institute et la communauté CWE. Il classe les entrées de la Common Weakness Enumeration (CWE) les plus fréquentes et les plus impactantes dans les vulnérabilités réelles, calculées à partir des enregistrements CVE, des scores CVSS du NVD et des indicateurs KEV. Il inclut des faiblesses comme Out-of-Bounds Write, Cross-Site Scripting, SQL Injection, Improper Authentication ou Use After Free. Équipes d'ingénierie, processus d'achat, standards de secure coding et outils AppSec s'appuient sur cette liste pour prioriser les défenses, la formation et les revues de code. La liste est actualisée chaque année.
● Exemples
- 01
Une équipe ajoute à chaque pull request des règles de lint et des contrôles SAST liés au CWE Top 25.
- 02
Une équipe achats exige que les fournisseurs démontrent des tests contre les faiblesses du SANS Top 25.
● Questions fréquentes
Qu'est-ce que SANS Top 25 ?
Liste publiée chaque année et maintenue par le MITRE avec le SANS Institute, classant les faiblesses logicielles les plus dangereuses à partir de données réelles de CVE. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie SANS Top 25 ?
Liste publiée chaque année et maintenue par le MITRE avec le SANS Institute, classant les faiblesses logicielles les plus dangereuses à partir de données réelles de CVE.
Comment se défendre contre SANS Top 25 ?
Les défenses contre SANS Top 25 combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de SANS Top 25 ?
Noms alternatifs courants : CWE Top 25, CWE Top 25 Most Dangerous Software Weaknesses.