Yeni bir metodoloji bu yılın en tehlikeli yazılım hatalarının sıralamasını sarssa da, klasik kalıcı tehditlerin hala kuruluşlar için en büyük risk olduğunu kanıtladı ve güvenli koda sürekli odaklanma ve yatırım yapma ihtiyacını güçlendirdi.
Yıllık Ortak Zayıflık Sayımı (CWE) listesi, MITRE ve Siber Güvenlik ve Altyapı Ajansı (CISA) tarafından derlenmektedir. Bu yıl ilk kez formülleri kusurların hem şiddetini hem de sıklığını içeriyordu.
Listede “Nadiren keşfedilen zayıflıklar, herhangi bir istismarın tipik sonucu ne olursa olsun, yüksek sıklıkta puan almayacak” ifadesine yer verildi. metodoloji sayfası açıkladı. “Hem yaygın hem de ciddi zarara neden olan zayıflıklar en yüksek puanları alacak.”
Rapora göre bu yılın en önemli zayıflıkları 2024 CWE listesi, öyleydi siteler arası komut dosyası çalıştırma (geçen yıl ikinci), ardından sınır dışı yazma (2023’ün kazananı), SQL enjeksiyonu (geçen yıl da üçüncü), siteler arası istek sahteciliği (CSRF) (2023’te dokuzuncu) ve yol geçişi (geçen yıl sekizinci).
Alec Summers, “Listedeki sıralamalarda elbette bir miktar hareket görmemize rağmen, aynı zamanda ‘olağan şüphelilerin’ (örn. CWE-79, CWE-89, CWE-125) varlığını da görmeye devam ediyoruz” diyor. MITRE’deki CVE Programının proje lideri ve listenin yazarlarından biri. “Bu ve diğer inatçı zayıflıkların sürekli olarak İlk 25’te üst sıralarda yer alması devam eden bir endişe.”
Kendisi, bu yılki sıralamadaki tek gerçek gelişmenin, CRSF’nin geçen yıl dokuzuncu sıradan 2024’te dördüncü sıraya yükselmesi olduğunu belirtiyor. “Bu, güvenlik açığı araştırmacılarının CSRF’ye daha fazla vurgu yaptığını yansıtıyor olabilir veya belki CSRF tespitinde gelişmeler vardır veya belki de Summers, “Daha fazla rakip bu tür bir soruna odaklanıyor. Bunun neden bu şekilde sıçradığını tam olarak emin olamıyoruz” diyor.
Olarak yazılım geliştirme yaşam döngüsü (SDLC) ve yazılım tedarik zinciri Her yıl daha da labirent haline geldiği ve günlük yazılım kusurlarının çoğalmaya devam ettiği göz önüne alındığında, kuruluşların günlük zayıflıklar daha kötü bir hal almadan önce sistemlerini kontrol altına almalarının giderek daha önemli hale geldiğini öne sürüyor.
Summers, “İlk 25’e bakıldığında, kuruluşların bu listeyi gözden geçirmeleri ve yazılım güvenliği stratejilerini şekillendirmek için yol gösterici bir kaynak olarak kullanmaları şiddetle tavsiye edilmektedir” diyor. “Kuruluşlar, hem geliştirme hem de satın alma süreçlerinde bunlara öncelik vererek riskleri daha proaktif bir şekilde ele alabilir.”
Yazılım Tedarik Zincirinin Desteklenmesi Evde Başlar
Summers, bu çabaların aynı şekilde yazılım esnekliği zincirine de yayılması gerektiğini ekliyor.
“Kuruluşların CWE ile CVE’nin temel neden haritasını benimsemesini benimsemesi ve tedarikçilerinden talep etmesi giderek daha önemli hale geliyor” diye ısrar ediyor. “Bu, bir kuruluşun SDLC ve mimari tasarım planlamasına yönelik değerli bir geri bildirim döngüsünü teşvik eder; bu, ürün güvenliğini artırmanın yanı sıra aynı zamanda para tasarrufu da sağlayabilir: Ürün geliştirmenizde ne kadar çok zayıf nokta önlenirse, dağıtım sonrasında yönetilmesi gereken güvenlik açıkları da o kadar az olur.”
Hangi yazılım kusurlarının en fazla riski oluşturduğunu belirlemek için yeni bir metodolojinin dahil edilmesine ek olarak 2024, CVE Numaralandırma Yetkilileri (CNA’lar) topluluğunun tamamının CWE Programının çabalarına katkıda bulunduğu ilk yıl oldu. CWE Projesi’ne göre bu yılki listenin geliştirilmesine toplam 148 CNA yardımcı oldu. Şu anda var 40 ülkede 421 CNACVE.org’a göre.