E安全12月18日讯 在过去的一年中,美国当局发布了突破历史纪录数量的CVE,这是连续第四年创新高。截至12月15日,US-CERT漏洞数据库发现和分配的生产代码漏洞数量超过2019年的总量。

CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE开始建立是在1999年9月,起初只有321个条目。在2000年10月16日,CVE达到了一个重要的里程碑——超过1000个正式条目。截至2000年12月30日,CVE已经达到了1077个条目,另外还有1047个候选条目(版本20001013)。至2013年已经有超过28个漏洞库和工具声明为CVE兼容。

据悉,2019年共公布了17,306个CVE漏洞,其中包括4337个高风险漏洞、10,956个中等风险漏洞和2013年的低风险漏洞。截至12月15日,共录得17,447个漏洞,其中高风险漏洞4168个,中等风险漏洞10710个,低风险漏洞2569个。

根据美国国家标准与技术研究所(NIST)国家漏洞数据库的官方数据,2005年至2016年间,漏洞数量每年在4000至8000个之间。然而,到了2017年,这一数字飙升至超过1.4万,此后每年发布CVE的数量都创下新高。K2 Cyber Security注意到了最近创纪录的激增,它声称,COVID-19大流行可能对今年的数据披露造成了影响。

目前,各公司仍在努力寻找应用程序快速上市和代码安全之间的平衡。COVID-19大流行是今年的一个主要因素,”该供应商的联合创始人兼首席执行官Pravin Madhani说。

“这促使许多组织匆忙将他们的应用程序投入生产;他们运行更少的QA周期,更多地使用第三方、遗留和开放源代码,这是漏洞增加的关键风险因素。”

Pravin Madhani称,为了降低这些风险,DevOps团队应该在生命周期中尽可能远离安全问题,而系统管理员应该尽快打补丁,以确保操作系统和关键软件是最新的。

此外,Pravin Madhani说,“最后,重要的是要有一个安全框架,提供一个深入防御的架构。现在是时候从9月23日刚刚公布的NIST SP800-53中吸取教训了。新的安全和隐私框架标准现在要求运行时应用程序自我保护(RASP)作为框架中的一个附加安全层。”

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。