每年,研究漏洞的研究人员和组织都会发布前些年的发现,并且总是如此:数量不一致。有人说计数增加了,有人说计数减少了。通常情况下,分歧的数字会在论坛上引起激烈的讨论,充满激情的争论和巨大的分歧。

事实是:没有人能说出所有现有软件的确切漏洞总数。计数取决于研究人员跟踪的内容,方法和方法。

人们经常忘记的是,这不是数字游戏。虽然很容易将事情归结为最简单的解释并声称数量众多,但它却将注意力从组织应关注的主要问题转移到了我们:我们的工作严重失败了 补丁管理 strategies.

该说法得到了数据的支持,该数据表明,在漏洞被公开很久之后,绝大多数被利用的漏洞都受到了危害。

CVE 99

更令人着迷的是,绝大多数漏洞在公开时都有一个可用的补丁程序。这为我们提供了一个线索,即仍有大量空间可以改进补丁程序管理流程。需要的是 补丁管理的新视角,利用漏洞情报来确定工作的优先级并修补正确的事物。

从: 富乐软件博客