调研公司Secunia于2011年所做的一份分析指出,软件业很多知名供应商正努力通过各类产品减少漏洞数量。
Secunia使用了自己的数据库以及众所周知的公共漏洞与公共CVE报告后调查发现,在2011年度报告发现几乎三分之二的软件漏洞集中在20家厂商的产品里。其中约有五分之一的漏洞被评定为严重级别。
这些厂商可分为两大类,微软、苹果和IBM这类公司所生产产品中的漏洞较上年同比有所减少,其他公司产品的漏洞则大幅增加。甲骨文从在2010年到2011间,产品漏洞增加了34%,总漏洞量达到497,都源自其自己开发的产品。
无论是从公共CVE报告还是从Secunia数据库看,漏洞数量的最高点仍然停留在2006年,从那以后,整体漏洞量在减少。不过,如果是以五年为期来衡量,排在最前面的这20家公司产品的漏洞量其实呈显著增长的趋势,有些甚至是几百倍的增长。
Secunia对哪一种漏洞最具危害提出了疑问——是大量相对较隐蔽的漏洞比较危险还是那些被广泛使用的产品中的漏洞比较危险呢?——能够轻易判定形势是向着好的方向发展还是坏的方向发展吗?
在管理人员眼中,最危险的漏洞是那些正被利用的漏洞,就此,Secunia则是提醒大家注意主流厂商的软件,如微软的产品。事实上,从2007年开始,就有约870个漏洞出现在50款使用最广泛的Windows产品中,有约685个漏洞存在于第三方软件中。
“微软程序的错误观念仍然体现出主要的攻击向量,这意味着基于这种错误假设的防御无异于锁上前门,打开后门。”报告的作者如是说。
Secunia的报告或许会让那些用打补丁的办法从事网络防御的管理人员有些沮丧。考虑到普通电脑的上软件的复杂性,给电脑打补丁就意味着与12个升级系统的补丁机制进行协商只是为了在前50个应用中排到首位。除此以外,还有78%的漏洞需要与另外11个升级机制进行协商。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
企业是否应信任第三方代码?
软件日益成为企业从事各种业务的核心,而合作伙伴提供软件中的漏洞可能会成为企业的漏洞。企业是否该信任第三方代码呢?
-
“软件移植”如何修复受损代码?
何谓软件移植?它们如何修复受损代码?它会在企业软件生命周期中占据一席之地吗?此外,它们是否会导致更多的软件漏洞和安全漏洞?
-
软件漏洞到底该不该被披露?
现在有关漏洞披露的辩论非常激烈:一方面企业有权利知道自己正处于危险之中,但另一方面,供应商需要时间来修复漏洞。那么,哪一方面更重要呢?
-
如何最大化自动补丁管理工具的作用?
对于很多企业而言,补丁管理是数字资产管理中经常被忽视的方面,这相当于埋了颗定时炸弹。而自动补丁管理可确保已安装的软件包含应用或操作系统供应商提供的最新特性和功能。