2020漏洞數(shù)量再創(chuàng)新高
責(zé)編:gltian |2020-12-18 16:22:29
根據(jù)US-CERT的最新報告,2020年NVD漏洞數(shù)據(jù)庫記錄了17447個漏洞,這也是安全漏洞數(shù)量連續(xù)第四年創(chuàng)下新高。
在US-CERT2020年報告的漏洞中,包括4168個高嚴(yán)重性漏洞、10710個中等嚴(yán)重性漏洞和2569個低嚴(yán)重性漏洞。在2019年的報告中,總共記錄了17306個漏洞,其中包括4337個高嚴(yán)重度漏洞、10956個中等嚴(yán)重度漏洞和2013個低嚴(yán)重度漏洞。
專家認(rèn)為漏洞數(shù)量的連年增長有兩大原因:開發(fā)人員源源不斷“推送”bug,以及白帽子黑客越來越擅長發(fā)現(xiàn)漏洞。
今年,眾包安全有了巨大的增長。根據(jù)安全公司Bugcrowd的最新報告,在過去12個月中,與去年相比,漏洞提交量增加了50%。P1提交(最嚴(yán)重的漏洞)增加了65%,提交的有效性增加了4%。
Web應(yīng)用程序依然是漏洞的“主力軍”,但是Bugcrowd數(shù)據(jù)顯示,隨著黑客技能的多樣化,其他類別應(yīng)用的漏洞數(shù)量也在趕上。到2020年,所有類別的漏洞提交量都增加了。今年以來,API漏洞翻了一番,Android漏洞翻了三倍還多。
HackerOne在今年初的最新“Hacker Powered Security Report”中證實了類似的發(fā)現(xiàn)。在過去的一年中,通過HackerOne發(fā)現(xiàn)的18萬個漏洞中,有三分之一都進行了通報。研究人員報告說,在新冠肺炎大流行開始后的幾個月內(nèi),該平臺上的新黑客注冊增加了59%,提交的漏洞報告增加了28%。參與眾包安全的企業(yè)同期支付的賞金增加了29%。
今年,許多企業(yè)不得不重新考慮他們的漏洞披露程序(VDP),該程序過去更多地側(cè)重于面向客戶的資產(chǎn)和攻擊面。現(xiàn)在,企業(yè)希望獲得有關(guān)員工定期使用的第三方系統(tǒng)或應(yīng)用程序弱點的更多信息。許多VDP已經(jīng)更加成熟,提供后端業(yè)務(wù)支持系統(tǒng)。
K2 Cyber Security聯(lián)合創(chuàng)始人兼首席執(zhí)行官Pravin Madhani說,許多組織在生產(chǎn)過程中急于開發(fā)應(yīng)用程序,從而縮短了質(zhì)量保證周期,并更加依賴第三方、遺留和開源代碼。
他說:“盡管出現(xiàn)了DevSecOps和左移方法,但已發(fā)布代碼中的漏洞數(shù)量仍在繼續(xù)增加。公司仍然難以在快速將應(yīng)用程序推向市場和代碼安全之間找到平衡。”
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!