导读
百年大计,安全第一。安全,是创新的保证。安全,也是我们关注前沿创新技术时,始终需要注意的一个关键因素。2017伊始,我们先回顾一下CAE发布的2016年软件漏洞排行榜,看看为什么谷歌安卓操作系统,成为漏洞“排行第一”的软件产品。
榜单
首先要声明:这份榜单的数据是基于CVE 数据库收录的漏洞,没有被收录和发现的漏洞不予计算!
下图为单个软件产品的漏洞排行榜:
2016年,谷歌安卓操作系统,以523个漏洞,成为被 告漏洞最多的软件产品,名列榜单首位。紧随其后的是:Debian Linux (319) 、Ubuntu Linux (278)。然而,这些开源操作系统许多漏洞,都继承于第三方程序包。
下图为软件厂商漏洞排行榜:
作为软件厂家来说,Adobe 公司成为“ 告漏洞最多”的厂家(1383),微软名列第二(1325),谷歌名列第三(695),苹果名列第四(611)。
以下是谷歌近几年安全漏洞数量以及漏洞类型的示意图:
2016年,安卓 告的安全漏洞数目,相比往年显著增长,安全形势很严峻!另外,从统计数据来看,漏洞类型主要是特权获取、拒绝服务、溢出、代码执行、信息获取、内存崩溃。
这一年,安卓发生了很多安全相关的事故。例如,八月份,从Linux kernel 中继承了TCP侦听漏洞(该Linux TCP bug的编 为“CVE-2016-5696”,影响当时在用的80%的Android设备(约14亿台)。 同月,在量产的安卓设备又中出现了高通“上帝模式” 漏洞。年末的时候,又发现了臭名昭著的“脏牛”漏洞。
听到这里,有些人会很惊讶,也有些人会很疑惑,或许还有人会“幸灾乐祸”。
不过,我们都不禁要问这样的结果,是什么机构统计出来的?
CVE
CVE 英文全称是“Common Vulnerabilities & Exposures”,即公共漏洞和暴露。CVE 是一个字典,它会给广泛认同的安全漏洞或者已经暴露出来的安全漏洞,一个公共名称。
用户使用这些关键字,从各自独立的漏洞数据库中共享数据,会变得更容易。并且同时,它也可以为安全工具覆盖率评估提供一个基线。
在一个漏洞 告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE 兼容的数据库中找到相应修补的信息,解决安全问题。
CVE 有以下特点:
漏洞和暴露的名称
描述每种漏洞或者暴露的一种标准
字典而不是数据库
不同的数据库和工具用同一种语言交流。
提供互操作性和更好的安全覆盖
安全工具和数据库评估的基础
分析
那么,我们是否可以得出结论:
安卓是一款“漏洞百出”的软件?
或许,大家有不同的看法。虽然,2016年,安卓确实被发现和曝光了诸多漏洞。但是,漏洞的暴露和发现,是解决漏洞的前提,同时也能及时地减小漏洞影响和危害。
所以,软件漏洞得到曝光和发现,某种层面也具有一定的积极意义,不能简单的说安卓就是一款“漏洞百出”的软件。“早发现早治疗”,这样效果会更好。
为了发现这些漏洞,谷歌也是不遗余力。从2010年起,谷歌就开始推出漏洞(bug)赏金计划,这几年发放了几百万美元的奖金。
软件漏洞赏金计划,可以作为谷歌现有内部安全计划的一个很好补充。它可以激励个人和黑客群体,帮助发现谷歌服务存在的漏洞,并且以恰当的形式 告。相反,如果这些漏洞被用于搞破坏,或者销售给第三方牟利,那么会产生更加坏的影响。
不仅是谷歌,微软、苹果、脸书等科技公司,也都纷纷推出了漏洞赏金计划。
我很感谢并且乐意倾听您分享有关看法,欢迎您的留言或者投票!
参考资料
【1】
http://www.cvedetails.com/top-50-products.php?year=2016
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!