你修复漏洞的史新速度够快吗?
你使用的软件是否安全?你是否有系统来识别漏洞以及修复漏洞?你对漏洞报告的反应速度有多快?有证据表明,软件漏洞在不断增加,报告而很少公司在采取必要的称年创历措施来应对这个问题。
在最新2015年Secunia漏洞报告中有一些令人担忧的软件消息:去年漏洞数量创历史新高;在过去五年,漏洞数量已经增加了55%。漏洞该报告还发现零日漏洞数量的史新增加,在50个最受欢迎的报告应用程序中有20个漏洞未被发现。而这些漏洞在被公开或修复之前已经被攻击者利用。称年创历
即使这些漏洞被公开,软件很多公司用非常长的漏洞时间来修复漏洞。那么,史新什么原因造成这个问题呢?
错误信任开源软件?
似乎很多企业都对开源软件作出危险的假设。Black Duck第九次开源调查带来了一些有趣的见解,开源软件越来越深入人心,但企业缺乏政策来管理开源软件。78%的受访者报告称七公司在开源软件运行部分或所有业务,而其中55%没有正式的政策来管理开源软件。
企业认为开源软件提供比专有软件更好的安全性,55%的受访者认为安全是部署开源软件的原因之一。这可能是事实,但这并不意味着开源软件没有漏洞。我们都记得Heartbleed,并且OpenSSL刚刚为另一个高危漏洞发布了补丁。企业需要时间和资源来修复最新的漏洞,并保持软件的完全修复。
根据该调查显示,超过50%的受访者并不了解开源组件中已知安全漏洞的情况。更糟糕的是,只有17%的受访者计划为安全漏洞监测开源代码。这意味着大部分企业依靠别人来查找漏洞,并且,在没有监督的情况下,我们很难预测有多少漏洞已经被利用。
开源模式确实提供了很多的优势,在未来几年,开源软件部署将会继续上升。
快速修复漏洞的重要性
回到Secunia报告,让人震惊的是,很多企业根本就没有足够重视软件漏洞的威胁。
很多厂商花了几个星期来修复Heartbleed(+本站微信networkworldweixin),一位不愿意透露姓名的供应商花了160天。如果修复广为人知的漏洞需要这么长时间,那么我们想知道有多少漏洞还未被发现。
对于企业没有投入足够资源来积极应对漏洞,这是可以理解的,但肯定是不可取的做法。无法修复已知漏洞是企业的疏忽,这些类型的漏洞很可能让企业受到攻击。攻击者往往会寻找阻力最小的路径,即已知漏洞。
随着越来越多的软件进入市场,漏洞的威胁只会增长。现在企业是时候解决这一威胁,投入必要的资源来修复漏洞。在理想情况下,企业应该定期监测代码来发现更多的漏洞。
责任编辑:蓝雨泪 来源: 网界网 软件漏洞零日漏洞(责任编辑:休闲)
2022腾讯Techo前沿技术论坛召开,六位科学家分享前沿科学成果
狂裁 2000 人,大众软件部两年亏 260 亿,高管曾集体被炒
将 Windows 11 打造成最受开发者欢迎平台,微软推出“Dev Home”和“Dev Drive”
合丰集团(02320.HK)发布公告:年度公司拥有人应占亏损1.72亿港元
谷歌(GOOGL.US)等赢得欧盟诉讼:成员国法规不可跨国监管