摘要: 越来越多的软件程序和不断增加的报告,让漏洞报告比2016年增加了1/3强。两家追踪漏洞披露的组织表示,2017年见证了软件漏洞报告的激增,即将成为破纪录的一年。由美国国家标准与技术局(NIST)管理的国家漏洞数据库(NVD),今年到现在为止已记录了超过1...
越来越多的软件程序和不断增加的报告,让漏洞报告比2016年增加了1/3强。两家追踪漏洞披露的组织表示,2017年见证了软件漏洞报告的激增,即将成为破纪录的一年。
由美国国家标准与技术局(NIST)管理的国家漏洞数据库(NVD),今年到现在为止已记录了超过1.34万个漏洞,比2016年全年的漏洞记录数的2倍还多。
NVD统计数据图表:
同时,安全信息公司Risk Based Security(RBS)在2017年记录了1.87万个漏洞,比去年同期增加了1/3强。漏洞记录增加的部分原因,可能是NVD和Risk Based Security之类的公司,在各自数据库中都囊括了更多的漏洞。
还有两个因素在驱动着这一趋势——更多的研究员关注漏洞,以及更多的应用不断的产生。研究人员在漏洞查找技能上不断精进,越挖越深,所以能找出更多漏洞,同时人们也在创建更多的软件来辅助查找问题。
RBS查找并收集的漏洞报告逐年递增,NVD记录的漏洞报告数却保持一致,自2005年起便在每年4000-6500个左右,只有1年例外。2014年,NVD纳入了近8000个软件漏洞报告。
随着2017年收纳的漏洞报告数量突破1.4万,今年必定又是例外而突出的一年。
对RBS的漏洞数据库VulnDB而言,今年也是破纪录的一年。该公司的软件漏洞集每年都在增长,且每年都比美国政府的数据库收纳更多漏洞报告。正如今年早些时候道琼斯指数攀上2万点高峰,RBS记录的漏洞数量也很有可能达到如此峰值。
约有32%的漏洞被公开利用。另外,2016和2017年的漏洞中,有6.1%是通过供应商或第三方漏洞的奖励计划协调的。
虽然漏洞数量的增加未必意味着软件用户风险增大,大多数主流开发者还是将在2017年见证自己软件中漏洞报告的增多。而且,严重漏洞的占比也比2016年略有增加——那些在通用漏洞评分系统中得分在7.0或以上的漏洞。
安全漏洞数量的膨胀,凸显出用户或其IT管理员保持系统更新的重要性。然而,2017年前9个月发现的漏洞中,仅76%有补丁、升级或其他修复措施。虽然安全产品可以帮助系统防御攻击,它们却也不是完全刀枪不入的——今年报告的漏洞中约有5%就出现在安全产品中。
来源:安全牛
更多资讯
◈ AWS猛然成为网络安全领域重量级新势力正式进军万亿美元市场
(信息来源于网络,安华金和搜集整理)