报告称:2014年软件漏洞创历史新高

2015-08-03 |  作者:邹铮编译 |  来源:独家

摘要在最新2015年Secunia漏洞报告中有一些令人担忧的消息:去年漏洞数量创历史新高;在过去五年,漏洞数量已经增加了55%。该报告还发现零日漏洞数量的增加,在50个最受欢迎的应用程序中有20个漏洞未被发现。而这些漏洞在被...

【CNW独家编译】你修复漏洞的速度够快吗?

你使用的软件是否安全?你是否有系统来识别漏洞以及修复漏洞?你对漏洞报告的反应速度有多快?有证据表明,软件漏洞在不断增加,而很少公司在采取必要的措施来应对这个问题。

在最新2015年Secunia漏洞报告中有一些令人担忧的消息:去年漏洞数量创历史新高;在过去五年,漏洞数量已经增加了55%。该报告还发现零日漏洞数量的增加,在50个最受欢迎的应用程序中有20个漏洞未被发现。而这些漏洞在被公开或修复之前已经被攻击者利用。

即使这些漏洞被公开,很多公司用非常长的时间来修复漏洞。那么,什么原因造成这个问题呢?

错误信任开源软件?

似乎很多企业都对开源软件作出危险的假设。Black Duck第九次开源调查带来了一些有趣的见解,开源软件越来越深入人心,但企业缺乏政策来管理开源软件。78%的受访者报告称七公司在开源软件运行部分或所有业务,而其中55%没有正式的政策来管理开源软件。

企业认为开源软件提供比专有软件更好的安全性,55%的受访者认为安全是部署开源软件的原因之一。这可能是事实,但这并不意味着开源软件没有漏洞。我们都记得Heartbleed,并且OpenSSL刚刚为另一个高危漏洞发布了补丁。企业需要时间和资源来修复最新的漏洞,并保持软件的完全修复。

根据该调查显示,超过50%的受访者并不了解开源组件中已知安全漏洞的情况。更糟糕的是,只有17%的受访者计划为安全漏洞监测开源代码。这意味着大部分企业依靠别人来查找漏洞,并且,在没有监督的情况下,我们很难预测有多少漏洞已经被利用。

开源模式确实提供了很多的优势,在未来几年(+关注网络世界),开源软件部署将会继续上升。

快速修复漏洞的重要性

回到Secunia报告,让人震惊的是,很多企业根本就没有足够重视软件漏洞的威胁。

很多厂商花了几个星期来修复Heartbleed,一位不愿意透露姓名的供应商花了160天。如果修复广为人知的漏洞需要这么长时间,那么我们想知道有多少漏洞还未被发现。

对于企业没有投入足够资源来积极应对漏洞,这是可以理解的,但肯定是不可取的做法。无法修复已知漏洞是企业的疏忽,这些类型的漏洞很可能让企业受到攻击。攻击者往往会寻找阻力最小的路径,即已知漏洞。

随着越来越多的软件进入市场,漏洞的威胁只会增长。现在企业是时候解决这一威胁,投入必要的资源来修复漏洞。在理想情况下,企业应该定期监测代码来发现更多的漏洞。

相关文章