报告称：2014年软件漏洞创历史新高

作者：邹铮编译 2015-08-26 11:51:42安全 在最新2015年Secunia漏洞报告中有一些令人担忧的报告消息：去年漏洞数量创历史新高;在过去五年，漏洞数量已经增加了55%。称年创历该报告还发现零日漏洞数量的软件增加，在50个最受欢迎的漏洞应用程序中有20个漏洞未被发现。

你修复漏洞的史新速度够快吗?

你使用的软件是否安全?你是否有系统来识别漏洞以及修复漏洞?你对漏洞报告的反应速度有多快?有证据表明，软件漏洞在不断增加，报告而很少公司在采取必要的称年创历措施来应对这个问题。

 

在最新2015年Secunia漏洞报告中有一些令人担忧的软件消息：去年漏洞数量创历史新高;在过去五年，漏洞数量已经增加了55%。漏洞该报告还发现零日漏洞数量的史新增加，在50个最受欢迎的报告应用程序中有20个漏洞未被发现。而这些漏洞在被公开或修复之前已经被攻击者利用。称年创历

即使这些漏洞被公开，软件很多公司用非常长的漏洞时间来修复漏洞。那么，史新什么原因造成这个问题呢?

错误信任开源软件?

似乎很多企业都对开源软件作出危险的假设。Black Duck第九次开源调查带来了一些有趣的见解，开源软件越来越深入人心，但企业缺乏政策来管理开源软件。78%的受访者报告称七公司在开源软件运行部分或所有业务，而其中55%没有正式的政策来管理开源软件。

企业认为开源软件提供比专有软件更好的安全性，55%的受访者认为安全是部署开源软件的原因之一。这可能是事实，但这并不意味着开源软件没有漏洞。我们都记得Heartbleed，并且OpenSSL刚刚为另一个高危漏洞发布了补丁。企业需要时间和资源来修复最新的漏洞，并保持软件的完全修复。

根据该调查显示，超过50%的受访者并不了解开源组件中已知安全漏洞的情况。更糟糕的是，只有17%的受访者计划为安全漏洞监测开源代码。这意味着大部分企业依靠别人来查找漏洞，并且，在没有监督的情况下，我们很难预测有多少漏洞已经被利用。

开源模式确实提供了很多的优势，在未来几年，开源软件部署将会继续上升。

快速修复漏洞的重要性

回到Secunia报告，让人震惊的是，很多企业根本就没有足够重视软件漏洞的威胁。

很多厂商花了几个星期来修复Heartbleed(+本站微信networkworldweixin)，一位不愿意透露姓名的供应商花了160天。如果修复广为人知的漏洞需要这么长时间，那么我们想知道有多少漏洞还未被发现。

对于企业没有投入足够资源来积极应对漏洞，这是可以理解的，但肯定是不可取的做法。无法修复已知漏洞是企业的疏忽，这些类型的漏洞很可能让企业受到攻击。攻击者往往会寻找阻力最小的路径，即已知漏洞。

随着越来越多的软件进入市场，漏洞的威胁只会增长。现在企业是时候解决这一威胁，投入必要的资源来修复漏洞。在理想情况下，企业应该定期监测代码来发现更多的漏洞。

责任编辑：蓝雨泪 来源： 网界网 软件漏洞零日漏洞

(责任编辑：休闲)