ソフトウェア開発で気を付けたい脆弱性トップ25　3位は「SQLインジェクション」　2位は「XSS」　1位は？：「CWE Top 25」2023年版、MITREが発表

MITREは、ソフトウェアにおいて危険な脆弱性タイプの1位～25位をまとめた「CWE Top 25」を発表した。

» 2023年07月13日 11時30分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　MITREは2023年6月29日（米国時間）、ソフトウェアにおいて危険な脆弱（ぜいじゃく）性タイプの1位～25位をまとめた「CWE（Common Weakness Enumeration：共通脆弱性タイプ） Top 25」を発表した。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

MITRE ATT&CK（マイターアタック）とは？　「今のサイバー攻撃って何してくるの？」が分かる6つの利用方法
ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」（マイターアタック）について解説する連載。初回は、概要や6つ使用方法について、具体例を挙げて解説する。
piyokango氏に聞く、ハードウェア脆弱性やクラウド誤設定はどうすべき？　CISA公開リスト「KEVC」とは？――ゼロデイそして「Nデイ」対策へ
いまの時代に即した脆弱性管理／対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理／対策の現実解」。初回に続き、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、“脆弱性”をどう認識すべきか、そして新たな情報ソースから考える脆弱性対策の在り方について聞いた。
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。