SANS Top 25
SANS Top 25 とは何ですか?
SANS Top 25MITRE と SANS Institute が共同で維持する年次リストで、実際の CVE データを基に最も危険なソフトウェアの弱点をランキング化したもの。
SANS Top 25(正式名称 CWE Top 25 Most Dangerous Software Weaknesses)は、MITRE が SANS Institute および CWE コミュニティと連携して作成するリストです。CVE 記録、NVD の CVSS スコア、KEV 指標などをもとに、実際の脆弱性で出現頻度と影響度がもっとも高い Common Weakness Enumeration(CWE)エントリをランク付けします。Out-of-Bounds Write、Cross-Site Scripting、SQL Injection、Improper Authentication、Use After Free など多様な弱点が含まれます。開発チーム、調達プログラム、セキュアコーディング基準、AppSec ツールがこのリストを参照し、防御策、教育、コードレビューの優先度付けに活用しています。リストは年 1 回更新されます。
● 例
- 01
開発チームがすべてのプルリクに CWE Top 25 関連の Lint ルールと SAST チェックを追加する。
- 02
調達部門がサプライヤーに対し、SANS Top 25 の弱点に対するテスト実施を提示するよう要求する。
● よくある質問
SANS Top 25 とは何ですか?
MITRE と SANS Institute が共同で維持する年次リストで、実際の CVE データを基に最も危険なソフトウェアの弱点をランキング化したもの。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
SANS Top 25 とはどういう意味ですか?
MITRE と SANS Institute が共同で維持する年次リストで、実際の CVE データを基に最も危険なソフトウェアの弱点をランキング化したもの。
SANS Top 25 からどのように防御しますか?
SANS Top 25 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
SANS Top 25 の別名は何ですか?
一般的な別名: CWE Top 25。