Questo è altamente opinato e controverso, ma volevo fornire un pensiero per te per prendere la tua decisione.
C'è OWASP, CWE e WASC. Non mi piace nessuno di loro.
Perché non dovrei usare nessuno di questi metodi di categorizzazione?
OWASP I primi 10 tentativi di fornire un elenco più comune in una visione di alto livello di ciò che è accaduto negli ultimi due anni. Ma quando crei report tecnici, il tentativo di mappare le vulnerabilità a queste categorie di alto livello lascia molto spazio all'interpretazione e rimane molto spazio per le cose che non si adattano.
Prendi questi esempi:
"Esecuzione di codice remoto mercuriale in Importer" - Controllo di accesso a livello di funzione mancante? Secondo OWASP, non è appropriato. Il link dice anche che serve per controllare l'accesso ai dati sensibili, non per prevenire arbitrarie codice dall'esecuzione.
Ma c'è di più.
"Esecuzione codice Git LFS" è messo sotto "Altro". "GitHub per l'esecuzione di codice in remoto di Windows" è in Injection.
Che cosa hanno in comune questi tre? Sono iniezioni di codice. Ma sotto questi mapping OWASP, sono tre cose diverse. Questo ha senso per un manager che deve rivedere il tuo rapporto? Chiamalo per quello che è - Esecuzione di codice in modalità remota. Come si è arrivati, come risolverlo, quelli sono cose separate da ciò che il problema è, il problema è l'esecuzione di codice o comandi arbitrari.
Perché dovrei usare questi metodi di categorizzazione?
La mappatura di alcune categorie di genitori può rendere più semplice il reporting quando si fornisce la frequenza con cui l'organizzazione incontra XSS o altri problemi.
Ultima parola di cautela
L'industria ha alcuni problemi da risolvere, e penso che sia un grosso problema. 10 categorie non sono sufficienti per la mappatura. 25 categorie stanno migliorando, ma la tua organizzazione potrebbe essere più mirata per le applicazioni mobili con endpoint dell'API web, per cui la categorizzazione come "Injection" non funziona così come la categorizzazione come iniezione LDAP o qualcos'altro.
La scelta è ovviamente la tua, ma nel corso degli anni, questo è quello che ho imparato.