Los errores de inyección SQL ya no se consideran el problema de seguridad de computer software más grave o frecuente.
Reemplazarlo en la parte excellent de la lista de Enumeración de debilidad común (CWE) de los errores de application más peligrosos es «Restricción incorrecta de las operaciones dentro de los límites de un búfer de memoria». Los errores de secuencias de comandos entre sitios (XSS) ocupan el segundo lugar en la lista, seguidos de validación de entrada incorrecta, exposición de información y errores de lectura fuera de los límites. Las fallas de inyección SQL ahora se clasifican en sexto lugar en la lista de vulnerabilidades de seguridad más graves.
El Instituto de Ingeniería y Desarrollo de Sistemas del Departamento de Seguridad Nacional, operado por The MITER Corp., lanzó esta semana un informe actualizado. top rated 25 CWE Listado de errores de software package. La actualización es la primera en ocho años y clasifica las vulnerabilidades de seguridad según la prevalencia y la gravedad.
El equipo de CWE analizó un conjunto de datos de unas 25,000 entradas de vulnerabilidades y exposiciones comunes (CVE) en los últimos dos años y se centró en las debilidades de seguridad en el software program que son comunes y tienen el potencial de causar un daño significativo. Los problemas que tienen un impacto bajo o que rara vez se excluyen se eliminaron.
En el pasado, los compiladores de la lista CWE usaban un enfoque más subjetivo basado en entrevistas personales y encuestas de expertos de la industria.
«Cambiamos a un enfoque basado en datos porque permite un análisis más consistente y repetible que refleja los problemas que estamos viendo en el mundo genuine», dijo Chris Levendis, líder del proyecto CWE. declaración Miércoles. «Continuaremos madurando la metodología a medida que avancemos».
Las listas como CWE y las principales vulnerabilidades de seguridad de software package del Open up World-wide-web Software Stability Task (OWASP) están diseñadas para crear conciencia sobre los errores comunes de seguridad entre los desarrolladores. El objetivo es ayudar a los desarrolladores a mejorar la calidad del software program y ayudarlos a ellos y a los verificadores a verificar los problemas de seguridad en su código. Pero a lo largo de los años, las entradas en estas listas han cambiado poco, lo que sugiere que los desarrolladores están cometiendo repetidamente los mismos errores.
«Esto pone de ease la desafortunada realidad de que, a pesar de muchos esfuerzos, la seguridad no se está integrando de manera suficientemente efectiva dentro de la comunidad de desarrolladores o en los marcos de garantía de la empresa», dice Javvad Malik, defensor de la conciencia de seguridad en KnowBe4. «No es que no sepamos cómo identificar y remediar los problemas o evitar que ocurran en primer lugar parece haber una cultura en la que el envío del software supera los requisitos de seguridad», señala.
Según Ilia Kolochenko, fundadora y directora ejecutiva de la compañía de seguridad web ImmuniWeb, la nueva lista y los enfoques de clasificación de riesgos tienen mucho sentido en typical. Sin embargo, es probable que algunas de las entradas en la lista causen cierta controversia, dice Kolochenko.
Los errores de secuencias de comandos entre sitios, por ejemplo, aunque comunes, no son particularmente fáciles de explotar. «La explotación exitosa de un XSS, a menos que se almacene, siempre requiere al menos un mínimo de ingeniería social e interacción con una víctima», dice.
Uno podría hacer comentarios similares sobre todas las demás entradas, argumentando sobre la prevalencia de las vulnerabilidades en los sistemas críticos para el negocio, la facilidad de detección y explotación, los costos de prevención y el tiempo de reparación. «Es poco possible que tengamos una opinión unánime sobre todos ellos», dice Kolochenko. «Es por eso que es bueno tener diferentes clasificaciones y clasificaciones que, una vez consolidadas, brindan una visión basic integral del panorama de vulnerabilidad de hoy en día».
Contenido relacionado:
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa
Más ideas
