2月6日由Risk Based Security发布的一项报告显示，去年公布的漏洞数量创造了新的纪录。这份名为《2016年度漏洞概览》的报告列举了Risk Based Security通过VulnDB漏洞检测平台提供的分析结果。
 

　　报告显示，2016年间VulnDB共报告了15000个漏洞，这一数据刷新了历史纪录。雪上加霜的是，不仅仅漏洞的数量在增加，而且报告的问题也日趋严重。常见漏洞评级体系(CVSS)是一项测量安全漏洞的风险程度的行业标准，漏洞的评级和其造成的影响成正比。2016年的已报漏洞中，21.3%的CVSS评级在9.0和10.0之间。此外，2016年间漏洞报告的方式繁多，然而相对于业界的各自为战，故障激励项目的成果令人振奋。

　　虽然漏洞的类型很多，2016年报告最多的Web漏洞攻击是跨站脚本攻击(XSS)。

　　下列是《2016年度漏洞概览》列举的一些重点问题：

　　1. 前所未有的漏洞数量
 

　　Risk Based Security的2016软件漏洞报告发现今年检测到的漏洞数量创下历史纪录，漏洞奖励项目是发现漏洞的主力军之一。

　　2. 漏洞数量仍在稳步上升
 

　　根据Risk Based Security的VulnDB漏洞跟踪系统，2016年的漏洞数量高达15000，这一数目仍保持增长趋势。

　　3. 漏洞影响力的变化
 

　　漏洞的影响可能随时间变化而变化。常见的漏洞评级体系(CVSS)试图衡量特定漏洞的影响，而该评级近年来一直呈现升高趋势，表明漏洞的数量和严重程度都在上升。

　　4. 2016年，漏洞威胁性进一步提高
 

　　具体来看，2016年的已报漏洞中，21.3%的CVSS评级在9.0和10.0之间。

　　5. 供应商验证了大多数漏洞
 

　　在VulnDB所报告的漏洞中，80.1%的漏洞在公开前由一家供应商验证。

　　6. 漏洞奖励项目发现更多的缺陷
 

　　根据VulnDB的数据，自2013年以来，漏洞奖励项目已经成为漏洞信息的主要来源，其发现问题的能力远超供应商自身。

　　7. 供应商的响应时间存在差异
 

　　在处理2016年的各个漏洞时，不同的供应商的响应速度存在差异。VulnDB使用了漏洞时间和风险度量系统(VTEM)追踪了各企业的响应速度。谷歌的响应时间为三天，名列第一。

　　8. XSS成为最常见的Web漏洞
 

　　根据VulnDB对Web漏洞的观测，跨站脚本(XSS)在占据了2016年的Web漏洞报告的37%。

　　(报告全文获取链接：https://pages.riskbasedsecurity.com/2016-ye-vuln-quickview )

(责任编辑：宋编辑)