SANS Top 25
Что такое SANS Top 25?
SANS Top 25Ежегодно публикуемый список MITRE совместно с SANS Institute, ранжирующий наиболее опасные программные слабости на основе реальных данных CVE.
SANS Top 25, формально CWE Top 25 Most Dangerous Software Weaknesses, — это список, составленный MITRE совместно с SANS Institute и сообществом CWE. Он ранжирует записи Common Weakness Enumeration (CWE) по частоте появления и серьёзности последствий в реальных уязвимостях, вычисляемых на основе записей CVE, оценок CVSS из NVD и индикаторов KEV. Среди категорий — Out-of-Bounds Write, Cross-Site Scripting, SQL Injection, Improper Authentication, Use After Free и др. Инженерные команды, программы закупок, стандарты безопасной разработки и AppSec-инструменты используют список для приоритизации защитных мер, обучения и код-ревью. Список обновляется ежегодно.
● Примеры
- 01
Инженерная команда добавляет в каждый pull request lint-правила и SAST-проверки, привязанные к CWE Top 25.
- 02
Отдел закупок требует от поставщиков подтверждения тестирования против слабостей из SANS Top 25.
● Частые вопросы
Что такое SANS Top 25?
Ежегодно публикуемый список MITRE совместно с SANS Institute, ранжирующий наиболее опасные программные слабости на основе реальных данных CVE. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает SANS Top 25?
Ежегодно публикуемый список MITRE совместно с SANS Institute, ранжирующий наиболее опасные программные слабости на основе реальных данных CVE.
Как защититься от SANS Top 25?
Защита от SANS Top 25 обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия SANS Top 25?
Распространённые альтернативные названия: CWE Top 25.