报告称:2014年软件漏洞创历史新高

安全
在最新2015年Secunia漏洞报告中有一些令人担忧的消息:去年漏洞数量创历史新高;在过去五年,漏洞数量已经增加了55%。该报告还发现零日漏洞数量的增加,在50个最受欢迎的应用程序中有20个漏洞未被发现。

你修复漏洞的速度够快吗?

你使用的软件是否安全?你是否有系统来识别漏洞以及修复漏洞?你对漏洞报告的反应速度有多快?有证据表明,软件漏洞在不断增加,而很少公司在采取必要的措施来应对这个问题。

报告称:2014年软件漏洞创历史新高

 

在最新2015年Secunia漏洞报告中有一些令人担忧的消息:去年漏洞数量创历史新高;在过去五年,漏洞数量已经增加了55%。该报告还发现零日漏洞数量的增加,在50个最受欢迎的应用程序中有20个漏洞未被发现。而这些漏洞在被公开或修复之前已经被攻击者利用。

即使这些漏洞被公开,很多公司用非常长的时间来修复漏洞。那么,什么原因造成这个问题呢?

错误信任开源软件?

似乎很多企业都对开源软件作出危险的假设。Black Duck第九次开源调查带来了一些有趣的见解,开源软件越来越深入人心,但企业缺乏政策来管理开源软件。78%的受访者报告称七公司在开源软件运行部分或所有业务,而其中55%没有正式的政策来管理开源软件。

企业认为开源软件提供比专有软件更好的安全性,55%的受访者认为安全是部署开源软件的原因之一。这可能是事实,但这并不意味着开源软件没有漏洞。我们都记得Heartbleed,并且OpenSSL刚刚为另一个高危漏洞发布了补丁。企业需要时间和资源来修复最新的漏洞,并保持软件的完全修复。

根据该调查显示,超过50%的受访者并不了解开源组件中已知安全漏洞的情况。更糟糕的是,只有17%的受访者计划为安全漏洞监测开源代码。这意味着大部分企业依靠别人来查找漏洞,并且,在没有监督的情况下,我们很难预测有多少漏洞已经被利用。

开源模式确实提供了很多的优势,在未来几年,开源软件部署将会继续上升。

快速修复漏洞的重要性

回到Secunia报告,让人震惊的是,很多企业根本就没有足够重视软件漏洞的威胁。

很多厂商花了几个星期来修复Heartbleed(+本站微信networkworldweixin),一位不愿意透露姓名的供应商花了160天。如果修复广为人知的漏洞需要这么长时间,那么我们想知道有多少漏洞还未被发现。

对于企业没有投入足够资源来积极应对漏洞,这是可以理解的,但肯定是不可取的做法。无法修复已知漏洞是企业的疏忽,这些类型的漏洞很可能让企业受到攻击。攻击者往往会寻找阻力最小的路径,即已知漏洞。

随着越来越多的软件进入市场,漏洞的威胁只会增长。现在企业是时候解决这一威胁,投入必要的资源来修复漏洞。在理想情况下,企业应该定期监测代码来发现更多的漏洞。

责任编辑:蓝雨泪 来源: 网界网
相关推荐

2022-05-31 10:01:16

Verizon勒索软件网络安全

2024-01-30 13:39:57

2023-12-07 12:10:11

2020-03-09 15:00:35

搜狗AI

2023-05-04 08:07:38

微软Windows

2018-08-24 09:21:26

2022-07-28 16:10:49

数据泄露网络攻击

2023-08-07 13:41:01

2014-07-29 09:41:03

漏洞IEIE漏洞

2014-01-21 14:30:37

2021-04-16 10:51:31

网络安全风险投资

2021-06-17 10:36:06

微软漏洞Windows

2021-02-09 07:52:46

比特币区块链加密货币

2023-12-13 15:41:03

2021-06-30 13:37:23

零日恶意软件恶意软件攻击

2009-10-14 10:02:09

2014-04-10 10:24:00

编程语言排行榜

2015-01-21 11:06:20

SQL注入SQL注入漏洞

2022-08-30 18:29:37

戴尔

2015-03-30 11:31:25

Android 5Chrome
点赞
收藏

51CTO技术栈公众号