MITRE发布软件安全缺陷Top25清单（2023版）

近日，美国非盈利性研究机构 MITRE 发布了 2023 版软件安全安全缺陷清单（CWE Top25），对过去两年中严重危害软件应用安全的 25 个安全缺陷进行了分析和评价。

软件安全缺陷涉及一系列广泛的问题，包括软件的架构设计和代码实现过程中存在的缺陷、瑕疵、漏洞和错误等。这些安全缺陷可能导致软件在运行过程中出现严重的安全隐患和漏洞。攻击者可以利用这些缺陷来控制受影响的系统、窃取数据或破坏正常的生产活动。

MITRE 研究人员表示，在编制这份软件安全缺陷清单的过程中，他们重点分析了 NIST 漏洞数据库（NVD）中 2021-2022 年里所发现和报告的 43996 个 CVE 条目，特别是其中被添加到 CISA（美国网络安全和基础设施安全局）已知利用漏洞（KEV）目录中的 CVE 记录，然后根据相关漏洞的严重程度和流行程度进行了综合评分。今年清单中所收录的 25 个安全缺陷之所以很危险，是由于它们均实际产生了重大的安全性影响，并且广泛出现近两年所发布的软件系统中。

对于应用软件的架构师、设计师、开发人员和使用者而言，这份清单将是一种实用且方便的参考资源，有助于降低风险。以下是今年清单收录的 Top25 安全缺陷具体信息：

据了解，MITRE 研究人员在接下来一段时间里，还将继续发布一系列关于 CWE Top 25 方法、漏洞映射趋势及其他实用信息的报告，旨在进一步阐明加强软件缺陷管理的作用和方法。