25 SANS: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „The initiative was initiated by the National Security Agency with financial support from the National Cyber Security Division of DHS. It was implemented by MIT…“)
 
 
Zeile 1: Zeile 1:
The initiative was initiated by the National Security Agency with financial support from the National Cyber Security Division of DHS. It was implemented by MITRE and SANS (SysAdmin, Audit, Network, Security).
+
=SysAdmin, Audit, Network, Security=
 +
Die Initiative wurde von der National Security Agency mit finanzieller Unterstützung der National Cyber ​​Security Division des DHS initiiert. Es wurde von MITRE und SANS (SysAdmin, Audit, Network, Security) implementiert.
  
According to the information submitted, the parties were able to reach agreement on the top 25 fairly quickly. The second step would be to teach programmers how to write code that is free of the programming errors of the top 25.
+
Bei den Top 25 konnten sich die Parteien nach den vorgelegten Informationen relativ schnell einigen. Der zweite Schritt wäre, Programmierern beizubringen, Code zu schreiben, der frei von den Programmierfehlern der Top 25 ist.
  
The long-term goal is,
+
Das langfristige Ziel ist,
*Offer software buyers safer software. For this certification mechanisms are in demand.
+
 
*To give programmers tools to check the security aspects of the developed software. To this end, various providers of test software have announced in parallel with the announcement that their software tests code for top 25 programming errors.
+
* Bieten Sie Softwarekäufern sicherere Software an. Dafür sind Zertifizierungsmechanismen gefragt.
*Training providers and developers who train programmers to provide a foundation for training that helps avoid the top 25 bugs.
+
 
*Provide employers or contractors with the Top 25 list as an additional reference to help them review applicants' skills.
+
*Um Programmierern Werkzeuge zur Verfügung zu stellen, um die Sicherheitsaspekte der entwickelten Software zu überprüfen. Zu diesem Zweck haben verschiedene Anbieter von Testsoftware parallel mit der Ankündigung angekündigt, dass ihre Software Code auf Top 25 Programmierfehler testet.
 +
 
 +
*Schulungsanbieter und Entwickler, die Programmierer ausbilden, um eine Schulungsgrundlage zu schaffen, die hilft, die 25 häufigsten Fehler zu vermeiden.
 +
 
 +
*Stellen Sie Arbeitgebern oder Auftragnehmern die Top-25-Liste als zusätzliche Referenz zur Verfügung, damit sie die Fähigkeiten der Bewerber überprüfen können
  
  

Aktuelle Version vom 15. Juni 2021, 19:04 Uhr

SysAdmin, Audit, Network, Security

Die Initiative wurde von der National Security Agency mit finanzieller Unterstützung der National Cyber ​​Security Division des DHS initiiert. Es wurde von MITRE und SANS (SysAdmin, Audit, Network, Security) implementiert.

Bei den Top 25 konnten sich die Parteien nach den vorgelegten Informationen relativ schnell einigen. Der zweite Schritt wäre, Programmierern beizubringen, Code zu schreiben, der frei von den Programmierfehlern der Top 25 ist.

Das langfristige Ziel ist,

  • Bieten Sie Softwarekäufern sicherere Software an. Dafür sind Zertifizierungsmechanismen gefragt.
  • Um Programmierern Werkzeuge zur Verfügung zu stellen, um die Sicherheitsaspekte der entwickelten Software zu überprüfen. Zu diesem Zweck haben verschiedene Anbieter von Testsoftware parallel mit der Ankündigung angekündigt, dass ihre Software Code auf Top 25 Programmierfehler testet.
  • Schulungsanbieter und Entwickler, die Programmierer ausbilden, um eine Schulungsgrundlage zu schaffen, die hilft, die 25 häufigsten Fehler zu vermeiden.
  • Stellen Sie Arbeitgebern oder Auftragnehmern die Top-25-Liste als zusätzliche Referenz zur Verfügung, damit sie die Fähigkeiten der Bewerber überprüfen können


Rank ID Name
[1] CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
[2] CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
[3] CWE-120 Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
[4] CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
[5] CWE-306 Missing Authentication for Critical Function
[6] CWE-862 Missing Authorization
[7] CWE-798 Use of Hard-coded Credentials
[8] CWE-311 Missing Encryption of Sensitive Data
[9] CWE-434 Unrestricted Upload of File with Dangerous Type
[10] CWE-807 Reliance on Untrusted Inputs in a Security Decision
[11] CWE-250 Execution with Unnecessary Privileges
[12] CWE-352 Cross-Site Request Forgery (CSRF)
[13] CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
[14] CWE-494 Download of Code Without Integrity Check
[15] CWE-863 Incorrect Authorization
[16] CWE-829 Inclusion of Functionality from Untrusted Control Sphere
[17] CWE-732 Incorrect Permission Assignment for Critical Resource
[18] CWE-676 Use of Potentially Dangerous Function
[19] CWE-327 Use of a Broken or Risky Cryptographic Algorithm
[20] CWE-131 Incorrect Calculation of Buffer Size
[21] CWE-307 Improper Restriction of Excessive Authentication Attempts
[22] CWE-601 URL Redirection to Untrusted Site ('Open Redirect')
[23] CWE-134 Uncontrolled Format String
[24] CWE-190 Integer Overflow or Wraparound
[25] CWE-759 Use of a One-Way Hash without a Salt
Abgerufen von „https://xinux.net/index.php?title=25_SANS&oldid=24145