報(bào)告稱:2014年軟件漏洞創(chuàng)歷史新高
你修復(fù)漏洞的速度夠快嗎?你使用的軟件是否安全?你是否有系統(tǒng)來識(shí)別漏洞以及修復(fù)漏洞?你對(duì)漏洞報(bào)告的反應(yīng)速度有多快?有證據(jù)表明,軟件漏洞在不斷增加,而很少公司在采取必要的措施來應(yīng)對(duì)這個(gè)問題。報(bào)告稱:2014年
你修復(fù)漏洞的速度夠快嗎?
你使用的軟件是否安全?你是否有系統(tǒng)來識(shí)別漏洞以及修復(fù)漏洞?你對(duì)漏洞報(bào)告的反應(yīng)速度有多快?有證據(jù)表明,軟件漏洞在不斷增加,而很少公司在采取必要的措施來應(yīng)對(duì)這個(gè)問題。
報(bào)告稱:2014年軟件漏洞創(chuàng)歷史新高
在最新2015年Secunia漏洞報(bào)告中有一些令人擔(dān)憂的消息:去年漏洞數(shù)量創(chuàng)歷史新高;在過去五年,漏洞數(shù)量已經(jīng)增加了55%。該報(bào)告還發(fā)現(xiàn)零日漏洞數(shù)量的增加,在50個(gè)最受歡迎的應(yīng)用程序中有20個(gè)漏洞未被發(fā)現(xiàn)。而這些漏洞在被公開或修復(fù)之前已經(jīng)被攻擊者利用。
即使這些漏洞被公開,很多公司用非常長的時(shí)間來修復(fù)漏洞。那么,什么原因造成這個(gè)問題呢?
錯(cuò)誤信任開源軟件?
似乎很多企業(yè)都對(duì)開源軟件作出危險(xiǎn)的假設(shè)。Black Duck第九次開源調(diào)查帶來了一些有趣的見解,開源軟件越來越深入人心,但企業(yè)缺乏政策來管理開源軟件。78%的受訪者報(bào)告稱七公司在開源軟件運(yùn)行部分或所有業(yè)務(wù),而其中55%沒有正式的政策來管理開源軟件。
企業(yè)認(rèn)為開源軟件提供比專有軟件更好的安全性,55%的受訪者認(rèn)為安全是部署開源軟件的原因之一。這可能是事實(shí),但這并不意味著開源軟件沒有漏洞。我們都記得Heartbleed,并且OpenSSL剛剛為另一個(gè)高危漏洞發(fā)布了補(bǔ)丁。企業(yè)需要時(shí)間和資源來修復(fù)最新的漏洞,并保持軟件的完全修復(fù)。
根據(jù)該調(diào)查顯示,超過50%的受訪者并不了解開源組件中已知安全漏洞的情況。更糟糕的是,只有17%的受訪者計(jì)劃為安全漏洞監(jiān)測開源代碼。這意味著大部分企業(yè)依靠別人來查找漏洞,并且,在沒有監(jiān)督的情況下,我們很難預(yù)測有多少漏洞已經(jīng)被利用。
開源模式確實(shí)提供了很多的優(yōu)勢,在未來幾年,開源軟件部署將會(huì)繼續(xù)上升。
快速修復(fù)漏洞的重要性
回到Secunia報(bào)告,讓人震驚的是,很多企業(yè)根本就沒有足夠重視軟件漏洞的威脅。
很多廠商花了幾個(gè)星期來修復(fù)Heartbleed(+本站微信networkworldweixin),一位不愿意透露姓名的供應(yīng)商花了160天。如果修復(fù)廣為人知的漏洞需要這么長時(shí)間,那么我們想知道有多少漏洞還未被發(fā)現(xiàn)。
對(duì)于企業(yè)沒有投入足夠資源來積極應(yīng)對(duì)漏洞,這是可以理解的,但肯定是不可取的做法。無法修復(fù)已知漏洞是企業(yè)的疏忽,這些類型的漏洞很可能讓企業(yè)受到攻擊。攻擊者往往會(huì)尋找阻力最小的路徑,即已知漏洞。
隨著越來越多的軟件進(jìn)入市場,漏洞的威脅只會(huì)增長。現(xiàn)在企業(yè)是時(shí)候解決這一威脅,投入必要的資源來修復(fù)漏洞。在理想情況下,企業(yè)應(yīng)該定期監(jiān)測代碼來發(fā)現(xiàn)更多的漏洞。
責(zé)任編輯:大云網(wǎng)
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
点个赞吧
- 相關(guān)閱讀
- 安全信息
- 安全技術(shù)
- 系統(tǒng)安全
- 信息安全案例
- 等級(jí)保護(hù)
- 安防軟件
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》
