再创新高！2017年安全漏洞突破2万个

安全公司Risk Based Security 近日公布了的2017年漏洞分析报告，指出2017年安全社区共揭露了20,832个安全漏洞，比2016年增加了31%，也创下了漏洞发现数量的新纪录。其中，只有12,932个取得了正式漏洞编号，仍有7,900个漏洞缺乏编号，成为企业安全的隐忧。

Risk Based Security漏洞情报副总裁Brian Martin表示，有太多企业仰赖CVE及漏洞资料库(NVD)来追踪漏洞，并相信它们已覆盖了重要的漏洞，然而事实并非如此。

分析显示，未被列入CVE或NVD的7900个漏洞影响了各组织广泛采用的各式产品，尽管CVE分配数量不断成长，依旧无法覆盖实际的漏洞数量，此外，在逾1.8万个已被分配的CVE编号中，有接近7000个还处于保留状态，但当中却有1,342个漏洞已被公开揭露，使得Risk Based Security批评负责维护CVE系统的Mitre重视CVE编号的分配更甚于数据质量。

在所有的漏洞中，有39.3%被漏洞风险评估系统CVSS评定为7级以上的风险。不过，在还未取得编号的漏洞中，则有44.5%被CVSS评为7级以上风险，更有18.77%被列为重大风险(Critical Risk)，达到9~10的CVSS等级。

此外，在12,932个拥有编号的安全漏洞中，有48.5%可被远程攻击，31.5%的攻击程序已现身，并有24.1%的漏洞尚未被修补。