报告称软件供应商未能有效阻止安全漏洞

　　调研公司Secunia于2011年所做的一份分析指出，软件业很多知名供应商正努力通过各类产品减少漏洞数量。

　　Secunia使用了自己的数据库以及众所周知的公共漏洞与公共CVE报告后调查发现，在2011年度报告发现几乎三分之二的软件漏洞集中在20家厂商的产品里。其中约有五分之一的漏洞被评定为严重级别。

　　这些厂商可分为两大类，微软、苹果和IBM这类公司所生产产品中的漏洞较上年同比有所减少，其他公司产品的漏洞则大幅增加。甲骨文从在2010年到2011间，产品漏洞增加了34%，总漏洞量达到497，都源自其自己开发的产品。

　　无论是从公共CVE报告还是从Secunia数据库看，漏洞数量的最高点仍然停留在2006年，从那以后，整体漏洞量在减少。不过，如果是以五年为期来衡量，排在最前面的这20家公司产品的漏洞量其实呈显著增长的趋势，有些甚至是几百倍的增长。

　　Secunia对哪一种漏洞最具危害提出了疑问——是大量相对较隐蔽的漏洞比较危险还是那些被广泛使用的产品中的漏洞比较危险呢?——能够轻易判定形势是向着好的方向发展还是坏的方向发展吗?

　　在管理人员眼中，最危险的漏洞是那些正被利用的漏洞，就此，Secunia则是提醒大家注意主流厂商的软件，如微软的产品。事实上，从2007年开始，就有约870个漏洞出现在50款使用最广泛的Windows产品中，有约685个漏洞存在于第三方软件中。

　　“微软程序的错误观念仍然体现出主要的攻击向量，这意味着基于这种错误假设的防御无异于锁上前门，打开后门。”报告的作者如是说。

　　Secunia的报告或许会让那些用打补丁的办法从事网络防御的管理人员有些沮丧。考虑到普通电脑的上软件的复杂性，给电脑打补丁就意味着与12个升级系统的补丁机制进行协商只是为了在前50个应用中排到首位。除此以外，还有78%的漏洞需要与另外11个升级机制进行协商。