Entry № 1083
SANS Top 25
SANS Top 25 是什么?
SANS Top 25由 MITRE 与 SANS Institute 共同维护并每年发布的列表,基于真实 CVE 数据列出最危险的软件弱点。
SANS Top 25 的正式名称为 CWE Top 25 Most Dangerous Software Weaknesses,由 MITRE 与 SANS Institute 及 CWE 社区合作编制。它基于 CVE 记录、NVD 提供的 CVSS 评分以及 KEV 指标计算,列出在真实漏洞中出现最频繁、影响最严重的 Common Weakness Enumeration(CWE)条目。涵盖的弱点包括 Out-of-Bounds Write、Cross-Site Scripting、SQL Injection、Improper Authentication、Use After Free 等。工程团队、采购计划、安全编码标准和 AppSec 工具都会使用该列表来确定防御、培训和代码评审的优先级。该列表每年更新。
● 示例
- 01
工程团队在每个 Pull Request 中加入与 CWE Top 25 相关的 lint 规则和 SAST 检查。
- 02
采购团队要求供应商证明已针对 SANS Top 25 弱点进行测试。
● 常见问题
SANS Top 25 是什么?
由 MITRE 与 SANS Institute 共同维护并每年发布的列表,基于真实 CVE 数据列出最危险的软件弱点。 它属于网络安全的 合规与框架 分类。
SANS Top 25 是什么意思?
由 MITRE 与 SANS Institute 共同维护并每年发布的列表,基于真实 CVE 数据列出最危险的软件弱点。
如何防御 SANS Top 25?
针对 SANS Top 25 的防御通常结合技术控制与运营实践,详见上方完整定义。
SANS Top 25 还有哪些其他名称?
常见的别称包括: CWE Top 25。