聯系電話:
+886 2 77182788
創提部落格
希望我們能與您分享和探討成長中的點點滴滴
什麼是CWE?概述CWE排名前25項
創提科技
2026/06/30
分享到
轉載自Perforce Software, Inc.
常見漏洞枚舉(CWE)清單旨在識別軟體和硬體中的安全弱點,涵蓋 C、C++ 和 Java 等語言。該清單是根據CWE社區的持續維護與更新而成的。
該團隊由MITRE公司贊助,成員包括主要作業系統供應商、商業資訊安全工具供應商、學術界、政府機構及研究機構的代表。
完整列表每隔幾個月就會定期更新。該安全性漏洞列表包含600多個類別,其中包括:
● 緩衝區溢位
● 跨站腳本攻擊
● 不安全的亂數產生
許多漏洞都可以與其他指南和標準建立關聯。例如,MITRE將特定的漏洞(CVE)與其根本原因(CWE)相關聯,以幫助開發人員理解問題發生的原因及問題產生的過程,並提出系統性的修復方案。
其他組織,例如 MISRA®,也涉及CWE映射。在最近的MISRA C附錄中,MISRA 提供了CWE與MISRA C:2025的映射。
由MITRE發佈的CWE Top 25,匯總了可能導致嚴重軟體漏洞的最普遍且最關鍵的缺陷。雖然CWE最重要硬體缺陷(MIHW)側重於硬體設計中作為根本原因的基礎缺陷,但CWE Top 25最危險軟體缺陷清單則突出了31,770條CVE記錄背後最嚴重且最普遍的軟體缺陷,這兩份清單對嵌入式系統都至關重要。由於安全性漏洞往往在軟體發展生命週期的早期階段就已存在,軟體發展人員應仔細研讀 CWE Top 25,並採用DevSecOps最佳實踐及能夠強制執行 CWE 標準的工具(如靜態代碼分析器),以實現“左移”策略,從而更快地將產品推向市場。
最新的CWE前25項軟體弱點清單於2025年發佈,列出了允許駭客控制受影響系統、竊取敏感性資料和造成拒絕服務(DoS)的漏洞。
以下是2025年CWE前25項軟體漏洞清單:
1. 在生成網頁時對輸入處理不當(“跨站腳本攻擊”)
2. 對SQL命令中使用的特殊元素處理不當(“SQL注入”)
3. 跨站請求偽造(CSRF)
4. 缺少授權
5. 越界寫入
6. 將路徑名不恰當地限制在受限目錄內(“路徑遍歷”)
7. 記憶體釋放後使用
8. 越界讀取
9. 對作業系統命令中使用的特殊元素處理不當(“作業系統命令注入”)
10. 對代碼生成控制不當(“代碼注入”)
11. 未檢查輸入大小的緩衝區複製(“經典緩衝區溢位”)
12. 允許上傳危險類型的檔
13. 空指針解引用
14. 基於棧的緩衝區溢位
15. 對不可信數據的反序列化
16. 基於堆的緩衝區溢位
17. 授權不當
18. 輸入驗證不當
19. 存取控制不當
20. 向未經授權的實體洩露敏感資訊
21. 關鍵功能缺少身份驗證
22. 伺服器端請求偽造(SSRF)
23. 對命令中使用的特殊元素處理不當(“命令注入”)
24. 通過用戶控制的金鑰繞過授權
25. 資源配置無限制或無限流
確保代碼安全的最佳方法是使用靜態應用程式安全測試(SAST)工具,例如 Perforce Klocwork。
SAST工具能在開發初期識別並消除安全性漏洞和軟體缺陷。這有助於確保您的軟體安全、可靠且符合相關規範。
Klocwork可幫助您:
● 識別並分析安全風險,並對嚴重程度進行優先順序排序。
● 滿足合規標準要求。
● 制定並執行編碼規範。
● 通過測試進行驗證和確認。
● 更快實現合規並獲得認證。
親自體驗Klocwork如何助您落實軟體安全標準
聯繫我們申請免費試