Af Eskil Sørensen, 24/08/20
Listen er interessant, fordi den giver et fagligt funderet vue over, hvor man skal være mest opmærksom som systemadministrator, altså de hyppigste svagheder, som software er plaget af.
I toppen af listen finder man Cross-site scripting, som er en sårbarhed på en webside, der giver en angriber mulighed for at afvikle programkode på vegne af en anden bruger.
For at forstå listen skal vi først se på hvad en sårbarhed i software egentlig er. En sårbarhed eller svaghed, som det også kaldes, kan være mangler, bugs og andre typer fejl, der findes i en softwarens løsningskode, arkitektur, implementering eller design. Kært barn har mange navne, men grundlæggende er der tale om svagheder, der kan udnyttes til udførelse af angreb på de systemer, som softwaren kører på.
MITRE, som er en non-profit organisation, har baseret sin liste på både alvoren af sårbarheden og udbredelsen. Til dette har MITRE brugt data fra Common Vulnerabilities and Exposures, dvs. listen fra National Vulnerabilty Database (NVD) med CVE-numre, som NIST, det amerikanske National Institute of Standards and Technology udgiver. Dette er kombineret med CVSS, Common Vulnerability Scoring System, som beskriver en rating i forhold til alvoren af sårbarheden. Generelt er det sådan, at jo nemmere en sårbarhed er at udnytte, jo højere nummer får den. Alt dette ender med en score efter CWE. CWE står for Common Weakness Enumeration.
MITRE forklarer selv, at de dermed får en objektiv tilgang de sårbarheder, der er derude i øjeblikket.
Oversigten kan findes i nedenstående links og henvender sig til software-udviklere og -testere, sikkerhedsfolk eller undervisere, der ønsker at få indsigt i de mest udbredte sikkerhedsproblemer i software-industrien.
Links:
https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html