2020漏洞数量再创新高

根据US-CERT的最新报告，2020年NVD漏洞数据库记录了17447个漏洞，这也是安全漏洞数量连续第四年创下新高。

在US-CERT2020年报告的漏洞中，包括4168个高严重性漏洞、10710个中等严重性漏洞和2569个低严重性漏洞。在2019年的报告中，总共记录了17306个漏洞，其中包括4337个高严重度漏洞、10956个中等严重度漏洞和2013个低严重度漏洞。

专家认为漏洞数量的连年增长有两大原因：开发人员源源不断“推送”bug，以及白帽子黑客越来越擅长发现漏洞。

今年，众包安全有了巨大的增长。根据安全公司Bugcrowd的最新报告，在过去12个月中，与去年相比，漏洞提交量增加了50％。P1提交（最严重的漏洞）增加了65％，提交的有效性增加了4％。

Web应用程序依然是漏洞的“主力军”，但是Bugcrowd数据显示，随着黑客技能的多样化，其他类别应用的漏洞数量也在赶上。到2020年，所有类别的漏洞提交量都增加了。今年以来，API漏洞翻了一番，Android漏洞翻了三倍还多。

HackerOne在今年初的最新“Hacker Powered Security Report”中证实了类似的发现。在过去的一年中，通过HackerOne发现的18万个漏洞中，有三分之一都进行了通报。研究人员报告说，在新冠肺炎大流行开始后的几个月内，该平台上的新黑客注册增加了59％，提交的漏洞报告增加了28％。参与众包安全的企业同期支付的赏金增加了29％。

今年，许多企业不得不重新考虑他们的漏洞披露程序（VDP），该程序过去更多地侧重于面向客户的资产和攻击面。现在，企业希望获得有关员工定期使用的第三方系统或应用程序弱点的更多信息。许多VDP已经更加成熟，提供后端业务支持系统。

K2 Cyber Security联合创始人兼首席执行官Pravin Madhani说，许多组织在生产过程中急于开发应用程序，从而缩短了质量保证周期，并更加依赖第三方、遗留和开源代码。

他说：“尽管出现了DevSecOps和左移方法，但已发布代码中的漏洞数量仍在继续增加。公司仍然难以在快速将应用程序推向市场和代码安全之间找到平衡。”