人妻少妇乱子伦精品_日韩人妻潮喷视频网站_日本最新最全无码不卡免费_日韩AV无码中文

當前位置: 首頁 > 科技新聞 >

全球最大同性交友網站化身漏洞管理者,還有2

時間:2019-11-13 00:55來源:網絡整理 瀏覽:
“人”這個字給了我們一個定義,區(qū)別于動物、植物,劃定了一群具有發(fā)達智慧擁有思維創(chuàng)造能力的生物,從命名的含義中,我們就明白~自己是自然造物中“

“人”這個字給了我們一個定義,區(qū)別于動物、植物,劃定了一群具有發(fā)達智慧擁有思維創(chuàng)造能力的生物,從命名的含義中,我們就明白~自己是自然造物中“最靚的崽”。

看來,在寫入信息之前,都要先對研究群體有個范圍劃定,而對于漏洞也不例外。嚴格意義上來說,漏洞就是一串代碼,一堆符號。在海量數(shù)據(jù)中,該如何區(qū)分?最簡單的辦法,就是建個安全漏洞庫。

全球最大同性交友網站化身漏洞管理者,還有25個潛在漏洞排名

CVE,這是一個被廣泛認同的信息安全漏洞的公共名稱,它可以幫助人們在各自獨立的漏洞數(shù)據(jù)庫和漏洞評估工具中共享數(shù)據(jù)。

所以,如果在一個漏洞報告中指明的某個漏洞有CVE名稱,你就可以快速地在任何其它CVE兼容的數(shù)據(jù)庫中找到相應修補的信息,解決安全問題。

Semmle被收購,CVE查詢提速

條目越多,其可能容納的漏洞類型就越多,對于用戶來說,獲取漏洞信息的途徑也就更加專一,可節(jié)省大量修復時間,而隨著微軟的這次收購,研究人員能夠在“全球最大同性交友平臺”GitHub 上更快地查詢開放的安全公告。

9月19日消息,微軟收購了代碼分析平臺供應商Semmle,并將后者與GitHub整合。

雷鋒網了解到,Semmle成立于2006年,其旨在讓查詢源代碼像任何其他類型的數(shù)據(jù)一樣工作。 據(jù)稱,谷歌、優(yōu)步、美國宇航局和微軟都使用了Semmle產品以提高安全性,并參與開發(fā)眾多開源項目。

全球最大同性交友網站化身漏洞管理者,還有25個潛在漏洞排名

GitHub 的產品高級副總裁 Shanku Niyogi 稱,此次整合將把 Semmle 的 QL 技術集成到GitHub服務中,為用戶改進代碼開發(fā)和漏洞披露流程。

雷鋒網獲悉,QL技術通過查詢來識別漏洞及其變體,這種查詢方式可以在很多代碼庫中共享運行,從而解放了安全研究人員,使其可以專注于漏洞發(fā)挖掘的工作。

據(jù)悉,GitHub 計劃將 Semmle 集成到自身服務中并為3600萬名開發(fā)人員提供在產品發(fā)布前就檢查代碼bug 的服務。目前這一服務正處于早期階段。

此次整合, GitHub 已成為 CVE 編號管理機構(或簡稱為 CNA),簡言之,它能夠為漏洞分配 CVE 編號了。

這意味著研究人員、維護人員和開發(fā)人員能夠更好地協(xié)作修復安全問題,這使得漏洞報告、追蹤和修復變得更加容易。

從CVE到CWE

正所謂長江后浪推前浪,隨著CVE標準被廣泛使用,越來越多的漏洞不再“無家可歸”,但依舊存在著概念描述缺陷,比如,對那種看上去還不是漏洞卻極有可能成為漏洞的“崽”,我們應該怎么提醒大家呢?在這種情況下,CWE出現(xiàn)了。

CWE成立于2006年,建立之初分別借鑒了來自CVE(“Common Vulnerabilities & Exposures”公共漏洞和暴露),CLASP(Comprehensive Lightweight Application Security Process,全面輕量級應用安全過程)等組織對缺陷概念描述和缺陷分類。

鑒于CWE對源代碼缺陷描述的準確性和權威性,越來越多的源代碼缺陷檢測廠家,在產品和服務中引用CWE中的相關信息。CWE組織推出的“CWE兼容性計劃”分別在產品的輸出、對已知缺陷檢測能力、檢測結果輸出、CWE信息是否可查等幾方面,衡量產品或服務對CWE缺陷研究的支持情況。

很快,“CWE兼容”成為軟件安全類產品重要的標志之一。

“CWE和CVE 的不同之處在于,前者是漏洞的前兆?!盡ITRE組織的一名項目經理Chris Levendis 解釋稱,在適當?shù)倪\營條件下,一個弱點就能夠編程可利用的漏洞。

雷鋒網(公眾號:雷鋒網)得知,CVE中相當數(shù)量的漏洞的成因在CWE中都可以找到相應的條目。如在代碼層、應用層等多個方面的缺陷,從CWE角度看,正是由于CWE的一個或多個缺陷,從而形成了CVE的漏洞。

CWE的重要性可見一般。

也因此,會有不少CWE機構會發(fā)布CWE Top榜,用意很是明確,就是想告訴你:嘿,小心這也許是個漏洞哦!

今年也不例外,本周二專注政府、行業(yè)和學術信息安全內容的非營利性組織 MITRE CWE 團隊發(fā)布了 CWE Top 25 榜單,列出了25個最危險的軟件錯誤。

2019年 CWE Top 25 完整榜單如下:

全球最大同性交友網站化身漏洞管理者,還有25個潛在漏洞排名

值得一提的是,這是由MITRE繼2011年以來首次對該榜單的更新。其中包含了軟件實現(xiàn)中出現(xiàn)的bug、設計缺陷或其它錯誤,包括緩沖區(qū)溢出、路徑名稱遍歷錯誤、不必要的隨機化或可預測性、代碼評估和注入、缺乏數(shù)據(jù)驗證等。

相比2011年,該榜單中出現(xiàn)的1/3的弱點是最新出現(xiàn)的,此外也有像“無限制上傳具有危險類型的文件(CWE-434)”、“SQL注入(CWE-89)”和“OS命令注入(CWE-78)”這種8年一直名列榜單的弱點。

此外,近年的榜單編撰規(guī)則與2011年完全不同。Buttner表示,2019年以前的榜單基于編譯 CWE 列表的行業(yè)專家的主觀討論,而今年的榜單基于NVD 漏洞庫和CVSS 評分。

參考來源:代碼衛(wèi)士《微軟收購 Semmle,GitHub 變身CVE 編號管理機構》;代碼衛(wèi)士《時隔8年,MITRE再次發(fā)布 CWE Top 25 榜單》;CSDN博客;

全球最大同性交友網站化身漏洞管理者,還有25個潛在漏洞排名

推薦內容