信息化觀察網(wǎng)

Risk Based Security 的 VulnDB 團隊發(fā)布的一份《2020 年中漏洞速覽報告》指出，受疫情影響，在第一季度的披露漏洞數(shù)量低于平常水平之后；目前，主要技術(shù)公司披露的漏洞數(shù)量已逐漸恢復(fù)到正常水平。2020 年上半年眾公司共披露了 11,121 個漏洞，按著這一的發(fā)展趨勢，今年披露的漏洞總數(shù)或有望超過去年。

報告稱，在年中匯總的 11,121 個漏洞中，有 818 個是“Vulnerability Fujiwhara Effect”的結(jié)果。這是 Risk Based Security 采用的一個術(shù)語，用來描述微軟和甲骨文漏洞披露時間表相撞的事件。

針對現(xiàn)如今科技公司都選擇在同一天公開發(fā)布所有最新漏洞的這一趨勢。Risk Based Security 公司漏洞情報副總裁 Brian Martin 批評稱，“我們知道，這些事件無疑會給 IT 人員和漏洞管理員帶來重大的壓力。在 4 月份的 Fujiwhara 活動中，我們看到了包含 506 個新漏洞的報告，其中 79% 來自 7 家廠商。不幸的是，對我們所有人來說，這很可能是我們可以預(yù)期的，未來會更頻繁地發(fā)生的事件。龐大的數(shù)量讓人不禁要問，這種一次全部披露漏洞的做法到底讓誰受益。當(dāng)然不是付費客戶。”

該報告通過列出和細分漏洞數(shù)量最高的供應(yīng)商和產(chǎn)品，進一步詳細介紹了披露領(lǐng)域。其中最值得注意的是微軟，與 2019 年全年相比，該公司在 2020 年前六個月內(nèi)披露的漏洞數(shù)量去年同期的 762 條相比增長了 150％，遠遠超過其他所有供應(yīng)商；Windows10 則是第二季度末漏洞披露最多的產(chǎn)品。

此外，令人擔(dān)憂的是，在 2020 年上半年披露的漏洞中，有 30% 的漏洞沒有 CVE ID。另外有 3% 的漏洞雖然分配了 CVE ID，但仍處于保留狀態(tài)，這意味著依舊沒有有關(guān)該漏洞的信息。

Martin 稱，“鑒于所披露的漏洞數(shù)量太過龐大，依靠 CVE/NVD 的組織將難以找到及時和可操作的情報。NVD 內(nèi)發(fā)現(xiàn)的最低限度的元數(shù)據(jù)不足以讓組織正確地確定優(yōu)先級以及進行補救。通過依靠 CVE 來提供完整和及時的數(shù)據(jù)，組織自身的風(fēng)險正在增加。目前組織每天面臨的漏洞披露水平已經(jīng)超出了 CVE 的處理能力，而且只會變得更糟。”