Вышел топ-25 категорий уязвимостей от MITRE

МITRE опубликовала свой традиционный топ-25 категорий уязвимостей. Он основан на анализе больше 31 тысячи CVE за прошлый год согласно частоте и серьёзности их эксплойта.

В топ-3 без изменений: межсайтовый скриптинг, запись вне границ буфера и внедрение SQL. Внедрение кода как таковое прибавило 12 позиций за год. Что интересно, сразу на 13 поднялась CWE-200 — раскрытие чувствительной информации неавторизированным лицам. Между прочим это многое говорит о нашем девелоперском сообществе! С другой стороны, из топ-25 вылетела CWE-276 — неверные дефолтные разрешения, опустившись сразу на 11 позиций. Что можно записать разработчикам в плюс. В остальном всё как всегда на фоне CISA, мечтающем о «Secure by Design» софте, и вендоров, которые всё не могут избавиться от дефолтных паролей в своих продуктах. Покой нам только снится, в общем.

Ранее появились подробности нового национального стандарта безопасной разработки ПО в России, который потребует от разработчиков решений в сфере информационной безопасности дополнительных инвестиций.