细数应用软件的缺陷分类

细数,应用软件,缺陷,分类 · 浏览次数 : 104

小编点评

**软件 CWE分类视图** * CWE-1000 研究者视图CWE-1000,该视图旨在促进对弱点的研究,包括弱点之间的相互依赖性,并可用来系统地找出 CWE内部的理论差距。 * CWE-1400 软件安全保障分类研究人员在使用CWE进行软件缺陷分类的过程中,发现分类之间的重合会给分类和研究带来很多困惑。 * CWE-1400 软件安全保障分类研究人员在使用CWE进行软件缺陷分类的过程中,发现分类之间的重合会给分类和研究带来很多困惑。 * CWE-1400 软件安全保障分类研究人员在使用CWE进行软件缺陷分类的过程中,发现分类之间的重合会给分类和研究带来很多困惑。 * CWE-1400 软件安全保障分类研究人员在应用软件架构中的分布,包含5大分类。 *自定义缺陷分类自定义视图和其他视图的比较从CWE 4.0之后,为了完善缺陷,加入了硬件的缺陷。 *自定义视图并未包含硬件类缺陷,缺陷缺少的部分主要为硬件类缺陷。 *自定义视图采用CWE 4.12版本统计、比较。 * CWE 节点类型本视图节点数开发者视图(699)研究者视图(1000)软件安全保障视图(1400)CWE节点总数View111149Pillar00101010Category3140022374Class871105107107Base441393523519519Variant28425288290290Compund70777Total8504609349561356自定义缺陷分类在应用软件架构中的分布6.

正文

本文分享自华为云社区《应用软件的缺陷分类》,作者:Uncle_Tom 。

软件缺陷分类在已知缺陷管理、缺陷用例库建设、静态检查工具的能力覆盖和横向对比中起着重要的作用。本文参考GB/T-30279, CNNVD,NVD,以及CWE的各种视图, 给出了一个建立适合自己的缺陷分类方法。

1. 软件缺陷分类的作用

最近先后几波同事找到我这边来讨论软件缺陷分类。

  • 第一波:需要用缺陷分类用于业界软件漏洞的分类。根据上月底国家缺陷漏洞库CNNVD发布《2022年度网络安全漏洞态势报告》显示,2022年度新增漏洞近2万5千个,达到历史新高,保持连年增长态势。超高危级漏洞占比呈持续上升趋势,尽管漏洞修复率大幅提升,但漏洞威胁形势依然严峻。同时整体形势出现新变化,呈现高风险漏洞数量突破新高、零日争夺凸显攻防新较量、单边漏洞管控扰乱国际秩序、网络霸权主义冲击网空权益等特点,网络安全整体形势更加复杂严峻。缺陷漏洞分类有助于漏洞的统计、研究,从而加强漏洞感知机制和手段建设,以实现高水平漏洞风险治理。
  • 第二波:是为了建立缺陷漏洞库,用于静态分析工具能力的提升。漏洞的分类能在很大程度上提升巨量用例的管理能力,实现用例对缺陷场景的全面覆盖,从而通过用例指导工具的研发方向和能力覆盖的检测。
  • 第三波:是为了静态分析工具选择的分析,每个工具都拥有500-1000+的检查规则,如何了解工具间的差异?选用最少的工具,实现最大的能力覆盖?这个也可以借助检查缺陷的分类,将静态分析工具的规则按缺陷分类进行分类,就可以看清楚工具在不同软件缺陷分类问题上所拥有的规则数。基于这个数据粗略的得到,工具在软件缺陷问题检查的大体覆盖程度。这个方法也可以在缺陷分类的粒度上,降低分析、比较规则的数量。使分析人员聚焦在感兴趣的规则分类上,或者让不同的分析小组并行的、快速的进行工具间的横向对比。

业界现在有那些软件缺陷分类可以做为参考,以及如何建立适合自己的缺陷分类?

2. 《GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南》

  • 《GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南》
    image.png

对于网络安全漏洞,国家在2020年颁布的国标《GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南》,并于2021.06.01投入使用。这个标准的网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行的划分,分类导图如下图所示。标准采用树形导图对漏洞进行分类,首先从根节点开始,根据漏洞成因将漏洞归入某个具体的类别,如果该类型节点有子类型节点,且漏洞成因可以归入该子类型,则将漏洞划分为该子类型,如此递归,直到漏洞归入的类型无子类型节点或漏洞不能归入子类型为止。

  • 分类导图
    image.png

按照这个分类标准,国家缺陷漏洞库(CNNVD)将信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。

这个分类方式参考了CWE的 3.1版本,3.1版本从2018-03-29 到 2019-01-03使用。目前随着CWE的这几年的快速发展,里面的CWE-16 配置错误,CWE-17 代码问题,已经废弃不再使用。虽然这个分类覆盖了网络安全的主要缺陷类型,但也存在着分类粒度过大,无法完成缺陷分类的全覆盖的问题。

3. 美国国家通用漏洞数据库(NVD)的分类指导

美国国家通用漏洞数据库(NVD)从一开始就参考了CWE 的分类方式对发现的CVE进行缺陷分类指导。

3.1. 从2008到2016年

从2008到2016年, 主要参考视图CWE-635 NVD 2008-2016。如下图:

  • CWE-635 NVD 2008-2016
    image.png

这个版本的分类主要有19个分类。国标的分类和这个分类有很大程度的吻合,可以说基本上一致。

3.2. 2016年之后

NVD 主要参考CWE的1003视图,如下图。

CWE-1003视图包含 37个一级节点,一共130个分类节点。

随着各种缺陷的不断发现,CWE的分类也在不断的完善过程中,特别是这几年,几乎每年都有3-4此的更新,为了使发现的CVE能够得到尽可能准确的CWE分类,在主页面上特别增加了一个CVE对应CWE的菜单CVE Mapping CWE guidance,协助用户完成对应任务。

同时这几年CWE也连续发布了各年的最危险的25种安全问题,详见:

在进行历年TOP 25的问题的统计过程中,CWE的研究人员也发现了软件问题分类给统计工作带来的困扰,在不断的修正着分类的从属关系,使之保持正交的分类统计方式,避免因问题分类问题导致的缺陷的重复计算。

4. 常用CWE分类视图

CWE做为软件缺陷分类的重要标准, 对安全研究、安全标准、缺陷管理起了重要的纽带作用。CWE使代码缺陷不同领域的研究人员在交流安全问题时,能够采用相同的定义,减少了歧义性。

CWE(Common Weakness Enumeration)。CWE被用于以下目的:

  • 用通用语言描述和讨论软件和硬件的弱点;
  • 检查现有软件和硬件产品中的弱点;
  • 评估针对这些弱点的工具的覆盖范围;
  • 利用常见的基准标准来识别,缓解和预防漏洞;
  • 在部署之前防止软件和硬件漏洞;

更多的介绍见:

4.1. CWE-699 开发者视图

CWE-699 开发者视图,这个视图主要以开发者的角度,围绕软件开发中经常使用或遇到的概念来组织弱点。这包括软件开发生命周期的所有方面,包括体系结构和实现。因此,这种观点可以与架构师、开发人员、教育工作者和评估供应商的观点紧密一致。它提供了各种类别,旨在简化导航、浏览和映射。
image.png

这个视图包含40个分类,以及399个节点。

4.2. CWE-1000 研究者视图

CWE-1000 研究者视图, 该视图旨在促进对弱点的研究,包括弱点之间的相互依赖性,并可用来系统地找出CWE内部的理论差距。该视图面向的是学术研究人员、漏洞分析人员和评估工具厂商。它对弱点进行了分类,在很大程度上忽略了如何检测它们,它们出现在代码中的什么地方,以及它们何时被引入软件开发生命周期。相反,它主要是根据软件行为的抽象来组织的。这种分类方法不关心缺陷的检测方法,缺陷在代码中的位置,在软件开发生命周期中何时引入缺陷。该视图主要基于对软件行为进行抽象描述的方法组织归类。

image.png

这个视图包含10个分类,933个节点。这个视图涵盖了所有的节点。

4.3. CWE-1400 软件安全保障分类

研究人员在使用CWE进行软件缺陷分类的过程中,发现分类之间的重合会给分类和研究带来很多的困惑。大家需要一个类别之间相互排斥的分类方法,尽管这样很不容易,但还是可以通过增加节点来逐步实现。

于是在CWE4.11版本终于给出了一个建议的参考,这个就是视图:CWE-1400 软件安全保障分类, 这个视图围绕大规模软件保证研究感兴趣的类别组织弱点,以支持使用安全语言开发等策略消除弱点。还可以用于帮助跟踪公开披露的漏洞数据中的弱点趋势。这个视图是全面的,因为每一个弱点都包含在其中,而不像大多数其他只使用弱点子集的观点。这个视图是由最高级别的类别构成的,只有第二级别的弱点。研究者视图(CWE-1000)中提出的弱点之间的关系未显示。
每个弱点只被添加到一个类别中。所有类别相互排斥;也就是说,任何弱点都不可能是一个以上类别的成员。虽然弱点难以仅根据一个特征进行严格的分类,但强制将其归入一个类别可以简化某些类型的分析。

这个分类方式,每个类别的规模可能差异很大,因为:
(1)与其他领域相比,CWE在某些领域没有得到很好的充实;
(2)分组中CWE的抽象可能会下降到Variant级别,而不是其他类型。

  • CWE-1400 软件安全保障分类,如下图:
    image.png

  • CWE-1400 软件安全保障分类在应用软件架构中的分布
    image.png

5. 自定义缺陷分类视图

在早些年,为了能更好的用于静态分析工具的对比和缺陷用例的整理, 依据代码编码过程的各个环节,对开发者视图(CWE-699)的40个分类进行了顺序调整,对节点数较小的一些分类进行了合并;同时参考研究者视图(CWE-1000),对开发者视图(CWE-699)分类中的节点进行了扩充。最终定义出适合静态分析工具检查和缺陷用例管理的视图。 视图中的定义按照编码、权限、程序间交互,以及程序设计分为31个分类。视图一共包含850个软件CWE弱点。

  • 分类的基本原则:

    • 覆盖软件开发的主要过程:设计,开发;
    • 覆盖应用软件的主要功能模块:外部交互;应用内部逻辑、算法;加密和权限;
    • 分类之间保持正交,不重合;
    • 为了查询节点之间的相关性,在分类内部尽可能的放置Class 节点的,并保持CW-699,CWE-1000给与的节点之间关系。
  • 自定义缺陷分类
    image.png

  • 自定义视图和其他视图的比较
    从CWE 4.0之后,为了完善缺陷,加入了硬件的缺陷。自定义视图并未包含硬件类缺陷,缺陷缺少的部分主要为硬件类缺陷。

自定义缺陷采用CWE 4.12版本统计、比较。

CWE 节点类型本视图节点数开发者视图(699)研究者视图(1000)软件安全保障视图(1400)CWE节点总数
View 1 1 1 1 49
Pillar 0 0 10 10 10
Category 31 40 0 22 374
Class 87 1 105 107 107
Base 441 393 523 519 519
Variant 284 25 288 290 290
Compund 7 0 7 7 7
Total 850 460 934 956 1356

自定义缺陷分类在应用软件架构中的分布

image.png

6. 总结

  • 软件缺陷分类能够:
    • 管理已知缺陷,加强漏洞感知机制和手段建设;
    • 建立完善的用例库,用于提升分析工具的检测和提升覆盖能力;
    • 分析静态检查工具的能力覆盖和横向对比,提升多分析工具对问题的整体覆盖能力。
  • CWE-1400 软件安全保障分类,将软件缺陷分成了22个大类,并给出了类别相互排斥,且包含所有缺陷节点的分类方式;这个分类方式已经非常接近我们期望的放分类方式;
  • 在应用过程中,可以根据自己的需要定义分类视图,以便更好的关注自己应用软件的高发问题,文中给出了一个建议的样例。

7. 参考

 

点击关注,第一时间了解华为云新鲜技术~

 

与细数应用软件的缺陷分类相似的内容:

细数应用软件的缺陷分类

本文参考GB/T-30279, CNNVD,NVD,以及CWE的各种视图, 给出了一个建立适合自己的缺陷分类方法。

我们都是调包侠

应用层 在应用层的角度看,比如 JavaScript 开发、Typescript开发、Java 开发、Android 应用开发等等,利用高级编程语言来控制计算机设备,根本无需关注硬件部分,操作系统部分也无需关注,除非是性能优化,可能需要关注操作系统的一些细节。大多数时候我们是利用高级编程语言以及这些

应用内支付服务现网、沙盒环境下常见关键事件的对比与总结

在集成和调试订阅型商品时,我们会依赖沙盒环境来进行模拟实际场景。 订阅型商品的购买流程和一次性商品的购买流程类似,但订阅还有其他细节场景,比如续订成功或失败,续订周期时长等。沙盒环境下的订阅续订时间会比正常情况更快,引入“时光机”概念帮助您快速测试您应用的订阅场景。比如订阅周期为1周,商品在3分钟后

.net使用nacos配置,手把手教你分布式配置中心

.net使用nacos配置,手把手教你分布式配置中心 Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 这么优秀的分布式服务管理平台,怎么能不接入呢? nacos的安装和使用这里就不细说了,可以参考网上教程和官方文档。https://nacos.io/zh-cn/docs

Nodejs 应用编译构建提速建议

前端构建的提速是一项比较复杂且细节的工程, 目前产品上在持续跟踪构建慢的应用, 努力优化编译速度, 但前端本身拥有一个比较自由的技术环境, 没有统一的构建工具与流程, 另外语言本身的执行效率、单线程的构建也不好让编译机发挥其最大能力, 所以目前全局的通用优化手段还是会比较局限, 还是依赖项目自身的优化. 希望大家一起努力共建美好的明天.

AI室内设计:提升效率、消除沟通障碍,满足客户需求

AI绘画工具(例:https://www.topgpt.one)的应用大大提高了室内设计师的工作效率。传统的手绘效果图需要耗费大量的时间和精力,而AI绘画工具能够快速生成高质量的效果图。设计师只需输入相关参数和设计要求,AI工具就能够根据这些信息自动生成具有逼真效果的室内设计图。这不仅节省了设计师的时间,还能使他们更专注于其他重要的设计细节,提高设计效果。

JVM内存配置的再次思考

JVM内存配置的再次思考 摘要 最近研究过不少内存分配相关的处理 今天晚上突然感觉还不是非常系统. 还是想能够细致的在学习一下. 希望能够慢慢的拾遗,提高自己 操作系统内存的使用情况 本文主要想思考linux相关的. 暂时不考虑Windows相关的机器配置. 也不考虑混用的情况 仅考虑专用的应用服务

[转帖]Codis作者黄东旭:细说分布式Redis架构设计和那些踩过的坑

https://dbaplus.cn/news-141-270-1.html Codis是一个分布式Redis解决方案,与官方的纯P2P模式不同,Codis采用的是Proxy-based的方案。今天我们介绍一下Codis以及下一个大版本RebornDB的设计,同时会介绍Codis在实际应用场景中的一

容器化应用系统上生产的最佳实践

前言 最近忙的要死, 👻👻👻. 上一周来了一次比 996 更猛的 907. 这周二终于有点遭不住了, 调休一天, 稍微歇息一下. 同时手痒的不行, 把筹备了好久的重磅文章发上来哈哈. 😆😆😆 不过时间还是有点仓促, 所以这次就先开个头, 后面有时间再细化. 容器化应用系统上生产的最佳实践

[转帖]细说Redis监控和告警

https://blog.csdn.net/sD7O95O/article/details/78096956 对于任何应用服务和组件,都需要一套完善可靠谱监控方案。尤其redis这类敏感的纯内存、高并发和低延时的服务,一套完善的监控告警方案,是精细化运营的前提。本文分几节,细说Redis的监控和告警