尽管2006年还有两个多月才要结束,但暴露的安全缺陷数量已经超过了2005年全年的水平,所幸的是,高危级别的缺陷并不太多。
Internet Security Systems (ISS)在2001年发现的软件安全缺陷还不足2000个,2005年上升到5195个,而今年头三个季度就有了5450个,预计全年可达7500个左右,年增幅44%,超过2005年的37%。
VeriSign旗下的iDefense和eEye Digital Security等安全厂商也同意ISS的看法,表示他们发现的安全缺陷数量也有所增长。另外,赛门铁克在2006年上半年网络安全形势总结提出上半年共发现了2249个安全威胁,同比增长18%。
eEye代表Steve Manzuik指出,操作系统的缺陷数量正在减少,但仍是第一大户,而IE、QuickTime、Office等软件的缺陷数量正在增加。
ISS研发部门X-Froce主管Gunter Ollmann表示,软件安全缺陷数量与日俱增的原因有很多方面,如软件的复杂程度日益增加、研究人员和安全厂商的检测手段越来越成熟、自动检测工具得到了有效改进等等。
为了修正安全缺陷,微软在今年头三个季度发布了55个安全补丁,而去年为45个。进入10月后,微软又发布了10个安全补丁,修正了26个漏洞,并在高危级风险方面创下新纪录。
不过Ollmann也给出了一些好消息。安全缺陷数量猛增的同时,高位级别风险的绝对数量和相对比例都在降低:去年为1475个、28.4%,而今年迄今只有17%,预计全年结束时有1265个,保持这一水平。
Ollmann最后预测说,由于新品发布往往会带来新一轮的高危缺陷发现高潮,预计微软在明年初发布Windows Vista后,上半年的高危缺陷比例会上涨不少。
ISS历年来发现的软件安全缺陷统计:01年不足2000个、02和03年3000多个、04年4000个、05年5195个、06年头9个月5450个。