使用OWASP前10在安全评估中分配漏洞严重性

Question

在一项研究中，我的目标是优先考虑web应用程序的漏洞修补。由于web应用程序漏洞没有指定严重程度的分数，就像为漏洞分配的一样(CVEs被分配为CVSS)，所以我想使用2017年年前10名作为度量标尺。更具体地说，对于漏洞，我希望使用1-10的等级，例如CWE(s)中的A1漏洞被指定为10，A6被分配为5。这是否公平/合理，还是有更好的方法来做这种事？

更新:刚刚偶然发现了CWSS，并意识到它是为使用CWE分类的web应用程序评分而设计的。例如，2011年CWE/SANS前25名最危险的软件错误都是使用流行分数评分的。

有没有人知道2017年前10名是否也有类似的情况？

Answer 1

我不认为将T10中的排名作为优先级确实是有意义的。T10是根据流行率和风险的组合排序的。对于一个人来说，普遍性是无关紧要的，最重要的是风险。即使存在风险，T10也会进行大量的概括，并且必然无法确定您的公司的业务风险。来自前10-2017年关于风险的说明：

此评级没有考虑到对您的业务的实际影响。考虑到您的文化、行业和监管环境，您的组织必须决定应用程序和API所带来的安全风险。OWASP前10名的目的不是为您做这种风险分析。

我不认为任何事情都会像根据每个漏洞的CVSS评分来确定优先级一样准确。