报告称:2014年软件漏洞创历史新高

2015-08-26 14:32:51 大云网  点击量: 评论 (0)
你修复漏洞的速度够快吗?你使用的软件是否安全?你是否有系统来识别漏洞以及修复漏洞?你对漏洞报告的反应速度有多快?有证据表明,软件漏洞在不断增加,而很少公司在采取必要的措施来应对这个问题。报告称:2014年
你修复漏洞的速度够快吗?
 
你使用的软件是否安全?你是否有系统来识别漏洞以及修复漏洞?你对漏洞报告的反应速度有多快?有证据表明,软件漏洞在不断增加,而很少公司在采取必要的措施来应对这个问题。
 
报告称:2014年软件漏洞创历史新高
 
在最新2015年Secunia漏洞报告中有一些令人担忧的消息:去年漏洞数量创历史新高;在过去五年,漏洞数量已经增加了55%。该报告还发现零日漏洞数量的增加,在50个最受欢迎的应用程序中有20个漏洞未被发现。而这些漏洞在被公开或修复之前已经被攻击者利用。
 
即使这些漏洞被公开,很多公司用非常长的时间来修复漏洞。那么,什么原因造成这个问题呢?
 
错误信任开源软件?
 
似乎很多企业都对开源软件作出危险的假设。Black Duck第九次开源调查带来了一些有趣的见解,开源软件越来越深入人心,但企业缺乏政策来管理开源软件。78%的受访者报告称七公司在开源软件运行部分或所有业务,而其中55%没有正式的政策来管理开源软件。
 
企业认为开源软件提供比专有软件更好的安全性,55%的受访者认为安全是部署开源软件的原因之一。这可能是事实,但这并不意味着开源软件没有漏洞。我们都记得Heartbleed,并且OpenSSL刚刚为另一个高危漏洞发布了补丁。企业需要时间和资源来修复最新的漏洞,并保持软件的完全修复。
 
根据该调查显示,超过50%的受访者并不了解开源组件中已知安全漏洞的情况。更糟糕的是,只有17%的受访者计划为安全漏洞监测开源代码。这意味着大部分企业依靠别人来查找漏洞,并且,在没有监督的情况下,我们很难预测有多少漏洞已经被利用。
 
开源模式确实提供了很多的优势,在未来几年,开源软件部署将会继续上升。
 
快速修复漏洞的重要性
 
回到Secunia报告,让人震惊的是,很多企业根本就没有足够重视软件漏洞的威胁。
 
很多厂商花了几个星期来修复Heartbleed(+本站微信networkworldweixin),一位不愿意透露姓名的供应商花了160天。如果修复广为人知的漏洞需要这么长时间,那么我们想知道有多少漏洞还未被发现。
 
对于企业没有投入足够资源来积极应对漏洞,这是可以理解的,但肯定是不可取的做法。无法修复已知漏洞是企业的疏忽,这些类型的漏洞很可能让企业受到攻击。攻击者往往会寻找阻力最小的路径,即已知漏洞。
 
随着越来越多的软件进入市场,漏洞的威胁只会增长。现在企业是时候解决这一威胁,投入必要的资源来修复漏洞。在理想情况下,企业应该定期监测代码来发现更多的漏洞。
大云网官方微信售电那点事儿

责任编辑:大云网

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞