根據(jù)Risk Based Security的最新報(bào)告，今年迄今為止披露的創(chuàng)紀(jì)錄的10,644個(gè)漏洞中有近17％屬于高危級(jí)別的嚴(yán)重漏洞，企業(yè)和個(gè)人面臨的安全威脅與日俱增。

[[241298]]

對(duì)于那些希望從軟件補(bǔ)丁修補(bǔ)中獲得喘息的組織來(lái)說(shuō)，目前看起來(lái)似乎沒(méi)有什么緩解的跡象。今天發(fā)布的Risk Based Security的最新安全報(bào)告顯示，軟件中發(fā)現(xiàn)的漏洞數(shù)量并沒(méi)有減少的跡象。

在今年1月1日至6月30日期間，業(yè)界共發(fā)布了10,644個(gè)漏洞，超過(guò)2017年同期的9,690個(gè)漏洞。今年迄今為止的趨勢(shì)表明，2018年披露的漏洞總數(shù)將輕松超過(guò)2017年全年的20,832個(gè)漏洞，這個(gè)數(shù)字 比2016年增長(zhǎng)了31％。

今年報(bào)告的軟件漏洞中約有17％屬于嚴(yán)重漏洞，在CVSS評(píng)級(jí)量表上的嚴(yán)重等級(jí)在9.0到10.0之間。不過(guò)這個(gè)數(shù)字相比2017年上半年Risk Based Security報(bào)告中21.1％的嚴(yán)重漏洞占比已經(jīng)有所下降。

2018年報(bào)告發(fā)現(xiàn)的漏洞中，46.3%與web相關(guān)，接近一半屬于遠(yuǎn)程利用漏洞。今年迄今為止風(fēng)險(xiǎn)安全數(shù)據(jù)庫(kù)中近三分之一的漏洞都屬于公開(kāi)漏洞，但有73%的公開(kāi)漏洞已有解決方案。

Risk Based Security漏洞情報(bào)副總裁Brian Martin表示，大多數(shù)漏洞都從用戶(hù)或攻擊者的輸入著手，而軟件對(duì)惡意輸入往往缺乏免疫能力。“我們將它們歸類(lèi)為影響軟件完整性的輸入操作問(wèn)題，”他指出。

并非所有漏洞都收錄進(jìn)CVE和NVD數(shù)據(jù)庫(kù)

值得注意的是，2018年上半年，Risk Based Security的漏洞數(shù)據(jù)庫(kù)中有超過(guò)3,275個(gè)漏洞并未在MITRE的CVE和國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）中發(fā)布。其中，超過(guò)23％的漏洞的CVSS評(píng)分在9.0到10.0之間。

換句話(huà)說(shuō)，純粹依賴(lài)CVS / NVD漏洞數(shù)據(jù)的企業(yè)和組織可能完全不知道自己至少漏掉了超過(guò)750個(gè)嚴(yán)重漏洞。