零日漏洞风险的现状与趋势

零日漏洞一直让安全从业者头疼。阴魂不散的零日问题的根源之一，是开源代码的不断扩散。这也是很多人想要知道零日漏洞当前趋势，以及缓解开源代码风险最佳实践的原因所在。

网络安全风投公司最近发布了一份新的《零日漏洞报告》，为CISO和IT安全团队提供零日漏洞趋势、统计数据、最佳实践和资源。

该报告凸显了一些预警性统计数据，包括：

应用攻击界面每年增加1110亿行软件代码

任务关键App中的开源代码将占99%

麦克·卡顿，Digital Defense 研发副总裁，称：“从安全角度看，开源代码的大量使用是有问题的。越来越多的公司不断投入开源代码怀抱，作为削减营销周期，尽快将产品推向市场的一种手段。”

由于一块代码可作为软件组件应用到多种设备中，这种组件中发现的零日漏洞复现率就可能倍增。你通常会在各种各样的设备和平台上发现一连串的漏洞。

推向市场的压力，催生了在企业产品中集成进更多库的新趋势，但这每一个库，都代表着潜在的漏洞风险。

卡顿称：“在以前，原生代码开发所占比重还要更大些。但使用开源代码的好处，在于代码质量更高;坏处，则显现于有人找到漏洞之时。如今，16个产品都出现了漏洞。”

开源组件和企业产品中常会发生的事情是，开发人员将库集成进产品，却没有对它进行加固。但凡集成时有个坚实的配置，情况都会好很多。

那么，企业到底需要做点什么来解决这些漏洞呢?”每一行代码都是一个攻击系统。某个库能干25件事，但我们只需要其中2件。那就要确保只有用到的那些确实暴露给执行代码。”

造成零日漏洞增多的另一个问题，是公司在同一个产品中使用2或3个解决方案。“他们可能会使用2到3个数据库或SML解析器，但仅使用能搞定所有需求的一个平台或一个组件，才是更好的选择。”

强防护，来自于选择正确的工具。“SQL轻量级组件，更少代码，更少功能，但有的都是与你任务相关的那些。”

虚拟化趋势，也降低了攻击者进入系统查看某些此类产品后台的门槛。“你可以下载一个虚拟机。企业应用空间里触手可及的目标很多。”

这个问题真心在厂商自身身上。“他们得注意到攻击者真的能这么做，确保他们自己先来一遍严格的安全评估。”

作者：佚名
来源：51CTO