在過去的一年中,美國當局發布了突破歷史紀錄數量的CVE,這是連續第四年創新高。截至12月15日,US-CERT漏洞數據庫發現和分配的生產代碼漏洞數量超過2019年的總量。
CVE 的英文全稱是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE開始建立是在1999年9月,起初只有321個條目。在2000年10月16日,CVE達到了一個重要的里程碑——超過1000個正式條目。截至2000年12月30日,CVE已經達到了1077個條目,另外還有1047個候選條目(版本20001013)。至2013年已經有超過28個漏洞庫和工具聲明為CVE兼容。
據悉,2019年共公布了17,306個CVE漏洞,其中包括4337個高風險漏洞、10,956個中等風險漏洞和2013年的低風險漏洞。截至12月15日,共錄得17,447個漏洞,其中高風險漏洞4168個,中等風險漏洞10710個,低風險漏洞2569個。
根據美國國家標準與技術研究所(NIST)國家漏洞數據庫的官方數據,2005年至2016年間,漏洞數量每年在4000至8000個之間。然而,到了2017年,這一數字飆升至超過1.4萬,此后每年發布CVE的數量都創下新高。K2 Cyber Security注意到了最近創紀錄的激增,它聲稱,COVID-19大流行可能對今年的數據披露造成了影響。
目前,各公司仍在努力尋找應用程序快速上市和代碼安全之間的平衡。COVID-19大流行是今年的一個主要因素,“該供應商的聯合創始人兼首席執行官Pravin Madhani說。
”這促使許多組織匆忙將他們的應用程序投入生產;他們運行更少的QA周期,更多地使用第三方、遺留和開放源代碼,這是漏洞增加的關鍵風險因素。“
Pravin Madhani稱,為了降低這些風險,DevOps團隊應該在生命周期中盡可能遠離安全問題,而系統管理員應該盡快打補丁,以確保操作系統和關鍵軟件是最新的。
此外,Pravin Madhani說,”最后,重要的是要有一個安全框架,提供一個深入防御的架構。現在是時候從9月23日剛剛公布的NIST SP800-53中吸取教訓了。新的安全和隱私框架標準現在要求運行時應用程序自我保護(RASP)作為框架中的一個附加安全層。“
