目标
收集迄今为止与已识别的应用程序漏洞相关的最全面数据集,以便对 OWASP Top 10 进行分析,并为未来的其他研究提供支持。这些数据应来自多种渠道,包括安全供应商、咨询公司、漏洞赏金计划,以及企业 / 组织的贡献。数据将进行标准化处理,以实现人工辅助工具分析与工具辅助人工分析之间的横向比较。
分析基础设施
计划利用 OWASP Azure 云基础设施来收集、分析和存储所贡献的数据。
数据贡献
我们计划支持实名贡献和匿名贡献两种方式。我们更倾向于实名贡献,因为这极大有助于确保所提交数据的有效性、质量和可信度。如果提交者希望匿名存储数据,甚至以匿名方式提交数据,那么这些数据将被归类为 “未验证” 数据,与 “已验证” 数据区分开来。
已验证数据贡献
- 场景 1:提交者实名且同意公开身份作为数据贡献方。
- 场景 2:提交者实名,但不希望公开披露身份。
- 场景 3:提交者实名,但不希望其身份记录在数据集中。
未验证数据贡献
- 场景 4:提交者匿名。(我们是否应支持此类贡献?)
在分析数据时,若数据集包含未验证数据,我们将谨慎区分其对分析结果的影响。
数据贡献流程
有以下几种数据贡献方式:
- 将包含数据集的 CSV/Excel 文件发送至邮箱 brian.glas@owasp.org。
- 将 CSV/Excel 文件上传至OneDrive 。
- 模板示例可在 GitHub 获取:Top10/2024/Data at master · OWASP/Top10 · GitHub
数据贡献时间
我们计划在 2024 年 12 月 31 日前接收 OWASP Top 10 相关数据贡献,数据时间范围为 2021 年至今。
数据结构
以下数据元素分为必填和选填项。提供的信息越详细,我们的分析就越准确。
至少,我们需要数据的时间段、数据集中测试的应用程序总数,以及 CWE(常见弱点枚举)列表及其在各应用程序中的出现次数。
如果可能,请提供额外的元数据,因为这将极大帮助我们更深入了解当前的测试状况和漏洞情况。
元数据
- 贡献者姓名(实名或匿名)
- 贡献者联系邮箱
- 时间段(2024 年、2023 年、2022 年、2021 年)
- 测试的应用程序数量
- 测试类型(人工辅助工具分析、工具辅助人工分析、纯工具分析)
- 主要编程语言
- 地理区域(全球、北美、欧盟、亚洲、其他)
- 主要行业(多元、金融、工业、软件等)
- 数据是否包含重复测试或同一应用程序的多次测试(是 / 否)
CWE 数据
- 包含各 CWE 及其在应用程序中出现次数的列表
- 如果可能,请在数据中提供具体的 CWE,而非 CWE 类别。这将有助于数据分析,分析过程中进行的任何标准化 / 聚合操作都将详细记录。
注意:如果贡献者有两种类型的数据集,分别来自人工辅助工具分析和工具辅助人工分析,建议将其作为两个独立数据集提交。
- HaT = 人工辅助工具分析(数据量较大、频率较高,主要来自工具分析)
- TaH = 工具辅助人工分析(数据量较小、频率较低,主要来自人工测试)
调查问卷
与 2021 版 OWASP Top 10 类似,我们计划开展一项调查问卷,以确定社区认为重要但可能尚未在数据中体现的 OWASP Top 10 类别(最多两类)。我们计划在 2025 年初开展调查,并将沿用上次的方式,通过谷歌表单进行。调查问卷中的 CWE 将来源于当前的热门发现、数据中未进入 Top 10 的 CWE 以及其他潜在来源。
分析流程
总体而言,我们计划对数据进行一定程度的标准化处理,但同时会保留原始数据版本,以供未来分析。我们将分析数据集的 CWE 分布情况,并可能对部分 CWE 进行重新分类,整合为更大的类别。我们会详细记录所有标准化操作,确保过程透明。
我们计划沿用 2021 年的模型计算漏洞发生可能性,采用发生率而非频率来评估某个应用程序包含至少一个 CWE 实例的可能性。这意味着我们关注的不是单个应用程序中漏洞的出现频率(发现数量),而是包含一个或多个 CWE 实例的应用程序数量。我们可以根据数据集中测试的应用程序总数,以及每个 CWE 被发现的应用程序数量来计算发生率。
此外,我们将为排名前 20 - 30 的 CWE 制定基础的 CWSS(常见弱点严重度评分),并将潜在影响纳入 OWASP Top 10 的权重计算。
我们还希望从所贡献的数据集中挖掘更多有价值的信息,探索其他对安全和开发社区有用的内容。
扫一扫
1285
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
