你修復(fù)漏洞的速度夠快嗎?

你使用的軟件是否安全?你是否有系統(tǒng)來(lái)識(shí)別漏洞以及修復(fù)漏洞?你對(duì)漏洞報(bào)告的反應(yīng)速度有多快?有證據(jù)表明，軟件漏洞在不斷增加，而很少公司在采取必要的措施來(lái)應(yīng)對(duì)這個(gè)問(wèn)題。

在最新2015年Secunia漏洞報(bào)告中有一些令人擔(dān)憂的消息：去年漏洞數(shù)量創(chuàng)歷史新高;在過(guò)去五年，漏洞數(shù)量已經(jīng)增加了55%。該報(bào)告還發(fā)現(xiàn)零日漏洞數(shù)量的增加，在50個(gè)最受歡迎的應(yīng)用程序中有20個(gè)漏洞未被發(fā)現(xiàn)。而這些漏洞在被公開(kāi)或修復(fù)之前已經(jīng)被攻擊者利用。

即使這些漏洞被公開(kāi)，很多公司用非常長(zhǎng)的時(shí)間來(lái)修復(fù)漏洞。那么，什么原因造成這個(gè)問(wèn)題呢?

錯(cuò)誤信任開(kāi)源軟件?

似乎很多企業(yè)都對(duì)開(kāi)源軟件作出危險(xiǎn)的假設(shè)。Black Duck第九次開(kāi)源調(diào)查帶來(lái)了一些有趣的見(jiàn)解，開(kāi)源軟件越來(lái)越深入人心，但企業(yè)缺乏政策來(lái)管理開(kāi)源軟件。78%的受訪者報(bào)告稱七公司在開(kāi)源軟件運(yùn)行部分或所有業(yè)務(wù)，而其中55%沒(méi)有正式的政策來(lái)管理開(kāi)源軟件。

企業(yè)認(rèn)為開(kāi)源軟件提供比專有軟件更好的安全性，55%的受訪者認(rèn)為安全是部署開(kāi)源軟件的原因之一。這可能是事實(shí)，但這并不意味著開(kāi)源軟件沒(méi)有漏洞。我們都記得Heartbleed，并且OpenSSL剛剛為另一個(gè)高危漏洞發(fā)布了補(bǔ)丁。企業(yè)需要時(shí)間和資源來(lái)修復(fù)最新的漏洞，并保持軟件的完全修復(fù)。

根據(jù)該調(diào)查顯示，超過(guò)50%的受訪者并不了解開(kāi)源組件中已知安全漏洞的情況。更糟糕的是，只有17%的受訪者計(jì)劃為安全漏洞監(jiān)測(cè)開(kāi)源代碼。這意味著大部分企業(yè)依靠別人來(lái)查找漏洞，并且，在沒(méi)有監(jiān)督的情況下，我們很難預(yù)測(cè)有多少漏洞已經(jīng)被利用。

開(kāi)源模式確實(shí)提供了很多的優(yōu)勢(shì)，在未來(lái)幾年，開(kāi)源軟件部署將會(huì)繼續(xù)上升。

快速修復(fù)漏洞的重要性

回到Secunia報(bào)告，讓人震驚的是，很多企業(yè)根本就沒(méi)有足夠重視軟件漏洞的威脅。

很多廠商花了幾個(gè)星期來(lái)修復(fù)Heartbleed(+本站微信networkworldweixin)，一位不愿意透露姓名的供應(yīng)商花了160天。如果修復(fù)廣為人知的漏洞需要這么長(zhǎng)時(shí)間，那么我們想知道有多少漏洞還未被發(fā)現(xiàn)。

對(duì)于企業(yè)沒(méi)有投入足夠資源來(lái)積極應(yīng)對(duì)漏洞，這是可以理解的，但肯定是不可取的做法。無(wú)法修復(fù)已知漏洞是企業(yè)的疏忽，這些類型的漏洞很可能讓企業(yè)受到攻擊。攻擊者往往會(huì)尋找阻力最小的路徑，即已知漏洞。

隨著越來(lái)越多的軟件進(jìn)入市場(chǎng)，漏洞的威脅只會(huì)增長(zhǎng)?，F(xiàn)在企業(yè)是時(shí)候解決這一威脅，投入必要的資源來(lái)修復(fù)漏洞。在理想情況下，企業(yè)應(yīng)該定期監(jiān)測(cè)代碼來(lái)發(fā)現(xiàn)更多的漏洞。