Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/06/2011
Actualització del Top 25 de debilitats de MITRE
El Top 25, de debilitats MITRE, és una llista dels errors més importants i generalitzats que poden conduir a greus vulnerabilitats en el programari. Aquests errors sovint són fàcils de trobar i d'explotar. Però són perillosos, perquè sovint permeten als atacants prendre control del programari completament, robar dades o evitar que el programari funcione.
Aquest Top 25 és una eina per a l'educació i sensibilització i per a ajudar als programadors a previndre tots els tipus de vulnerabilitats que afecten la indústria del programari, identificant i evitant els errors, i massa freqüents, que es produeixen.
D'altra banda, els clients poden utilitzar aquesta llista per a demanar un programari més segur als seus proveïdors. Els investigadors de seguretat també la poden utilitzar per a centrar-se en un subconjunt limitat –però important– de totes les debilitats de seguretat conegudes. Finalment, els administradors de programes i directors de TI poden utilitzar la llista per a mesurar el progrés en els seus esforços per assegurar el seu programari.
La llista és el resultat de la col·laboració entre l'Institut SANS (que acaba d'actualitzar el seu TOP 20), MITRE, i molts dels millors experts de seguretat de programari als EEUU. I Europa. MITRE manté el lloc web de CWE amb el suport de Department of Homeland Security's National Cyber Security. La llista completa conté dades de més de 800 errors de programació, errors de disseny i errors en l'arquitectura, que poden donar lloc a vulnerabilitats explotables.
Aquest Top 25 del 2011 introdueix millores a la llista de l'any passat, però l'esperit i els objectius continuen sent els mateixos. Enguany, el Top 25 va ser prioritzat amb les aportacions de més de 20 organitzacions diferents i cada debilitat va ser avaluada basant-se en la prevalença, importància i la probabilitat d'explotació. S'utilitza el sistema de puntuació de debilitats comunes (CWSS) per a anotar i classificar els resultats finals.
El Top 25 també comprén un xicotet grup dels més eficaços "Monster mitigations", que ajuden els desenvolupadors a reduir o eliminar grups sencers dels 25 principals punts dèbils, així com moltes de les debilitats documentades per CWE.