新闻链接：http://www.seehand.com/news/568.html
新闻时间：2015.04.07
新闻正文：
信息安全解决方案的知名提供商Secunia公司已经发表了关于漏洞的年度报告，报告强调了应用程序的安全趋势。该公司根据于2014年收集的数据，分析了信息安全软件在漏洞、时效性和补丁的可用性方面的状况，以及用户PC上50个最流行的应用程序中危险漏洞的存在。

    Secunia公司收集了端点解决方案Personal Software Inspector (PSI)的安装信息。平均而言，用户的一台计算机安装76个程序，Secunia公司为了方便计算，选择了其中50个最流行的应用程序; 其中34个是由微软公司开发的。

    很多情况下，软件中的漏洞会成为黑客的攻击入口，而操作漏洞则允许未经授权的访问IT系统。根据2014年数据，来自500个不同的开发商的3870份申请中，共发现15345个漏洞，比去年增长18%，与五年前相比增长了55%； 另外，漏洞程序的数量每年增长22%。2014年，24个零日漏洞开始进入人们的视野，这几乎是前一年数量的两倍；它们中的80%是在排名前五的最流行软件产品中被发现的。11%的漏洞来自关键开发商，0.3%则处于超临界状态。在2014年，五个最流行的Web浏览器 (Google Chrome, Mozilla Firefox, Internet Explorer, Opera и Safari)共被查出1035个漏洞——比去年高出42%。在五个最流行的PDF阅读器中，共计查出45个漏洞。

前五十名最流行的软件中的18个里，共发现漏洞1348个——五年内它们的数量增长了42%，虽然大多数被列为高度严重漏洞（ 64.9 ％）或者高临界程度(9,7%)。排名前50的PC软件中77%漏洞是在与Microsoft无关的解决方案中被检测到的——这比Microsoft的专有软件中多得多：它只有21%被发现的bug，而在流行的Windows 7中专家发现的漏洞仅占漏洞总数的2%。

根据Secunia公司信息安全研究部主任Kasper Lindgaard表示，被报道的漏洞的数量每年都在增长。他说：“IT -部门的员工也很难：他们必须时刻密切留意应用的全范围使用情况，并且要对用户所使用的产品一旦发现漏洞做出完备的应急预案和计划。”

软件分布的透明度不足让情况更加复杂化。通过扩充自己的附加数据库产品或者基于开放源代码的应用程序，开发商给IT工作人员带来了混乱：现在根本无法知道，企业基础设施中实际上使用什么软件来降低应用中为了关闭已发现的漏洞而使用的应用补丁的比率。2014年发生的一系列事件，就是开放商未及时通知其产品的用户，应用程序上基于开放源代码的漏洞可能会影响其产品的安全性。例如，有关OpenSSL的漏洞被发现后，各生产商等了好几天才发布这一消息，通知受到影响的客户关于该程序这一漏洞可能面临的风险。Lindgaard感慨道，顺便提一下，各厂商通知用户的漏洞持续时间也极不规范，它们甚至预测“无线电静默”的持续时间在每一种情况下都是不可能的。

    关于应用中的漏洞被知名IT工作人员发现，2014年在这方面可以看到非常积极的趋势：已知的15435个漏洞中有83%在被发现的第二天立即关闭了——相应的补丁在最短时间内被开发和公布。每年，发布一个补丁需要的时间都在缩短：以2009年为例，这一时间已缩短了49.9%。但是这一好消息掩盖了另一个事实，即检测出漏洞存在的消息被发布后30天内，83%这一令人鼓舞的比例没有发生任何变化。到月底时，接受补丁的应用数量达到总漏洞程序名单的84.3%，也就是说，如果漏洞在被披露的当天没有得到解决的话，开发商是不会再处理这个问题的。对于IT-部门，这意味着一个“ B计划”的转变，此时公司就要采取措施，以减少独立运作的风险，这需要时间和精力，而且在安全性方面也增加了额外风险。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课