MITRE发布软件安全缺陷Top25清单（2023版）

近日，美国非盈利性研究机构MITRE发布了2023版软件安全安全缺陷清单（CWE Top25），对过去两年中严重危害软件应用安全的25个安全缺陷进行了分析和评价。

软件安全缺陷涉及一系列广泛的问题，包括软件的架构设计和代码实现过程中存在的缺陷、瑕疵、漏洞和错误等。这些安全缺陷可能导致软件在运行过程中出现严重的安全隐患和漏洞。攻击者可以利用这些缺陷来控制受影响的系统、窃取数据或破坏正常的生产活动。

MITRE研究人员表示，在编制这份软件安全缺陷清单的过程中，他们重点分析了NIST漏洞数据库（NVD）中2021-2022年里所发现和报告的43996个CVE条目，特别是其中被添加到CISA（美国网络安全和基础设施安全局）已知利用漏洞（KEV）目录中的CVE记录，然后根据相关漏洞的严重程度和流行程度进行了综合评分。今年清单中所收录的25个安全缺陷之所以很危险，是由于它们均实际产生了重大的安全性影响，并且广泛出现近两年所发布的软件系统中。

对于应用软件的架构师、设计师、开发人员和使用者而言，这份清单将是一种实用且方便的参考资源，有助于降低风险。以下是今年清单收录的Top25安全缺陷具体信息：

据了解，MITRE研究人员在接下来一段时间里，还将继续发布一系列关于CWE Top 25方法、漏洞映射趋势及其他实用信息的报告，旨在进一步阐明加强软件缺陷管理的作用和方法。