蔡逸竹

儘管2006年還有兩個多月才要結束,但暴露的安全缺陷數量已經超過了2005年全年的水平,所幸的是,高危級別的缺陷並不太多.
　　Internet Security Systems (ISS)在2001年發現的軟件安全缺陷還不足2000個,2005年上升到5195個,而今年頭三個季度就有了5450個,預計全年可達7500個左右,年增幅44%,超過2005年的37%.VeriSign旗下的iDefense和eEye Digital Security等安全廠商也同意ISS的看法,表示他們發現的安全缺陷數量也有所增長.另外,賽門鐵克在2006年上半年網絡安全形勢總結提出上半年共發現了2249個安全威脅,同比增長18%.



　　eEye代表Steve Manzuik指出,操作系統的缺陷數量正在減少,但仍是第一大戶,而IE、QuickTime、Office等軟件的缺陷數量正在增加.

　　ISS研發部門X-Froce主管Gunter Ollmann表示,軟件安全缺陷數量與日俱增的原因有很多方面,如軟件的複雜程度日益增加、研究人員和安全廠商的檢測手段越來越成熟、自動檢測工具得到了有效改進等等.

　　為了修正安全缺陷,微軟在今年頭三個季度發佈了55個安全補丁,而去年為45個.進入10月後,微軟又發佈了10個安全補丁,修正了26個漏洞,並在高危級風險方面創下新紀錄.

　　不過Ollmann也給出了一些好消息.安全缺陷數量猛增的同時,高位級別風險的絕對數量和相對比例都在降低:去年為1475個、28.4%,而今年迄今只有17%,預計全年結束時有1265個,保持這一水平.

　　Ollmann最後預測說,由於新品發佈往往會帶來新一輪的高危缺陷發現高潮,預計微軟在明年初發佈Windows Vista後,上半年的高危缺陷比例會上漲不少.

　　ISS歷年來發現的軟件安全缺陷統計:01年不足2000個、02和03年3000多個、04年4000個、05年5195個、06年頭9個月5450個.