在過去的一年中，美國當(dāng)局發(fā)布了突破歷史紀(jì)錄數(shù)量的CVE，這是連續(xù)第四年創(chuàng)新高。截至12月15日，US-CERT漏洞數(shù)據(jù)庫發(fā)現(xiàn)和分配的生產(chǎn)代碼漏洞數(shù)量超過2019年的總量。

　　CVE 的英文全稱是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE開始建立是在1999年9月，起初只有321個(gè)條目。在2000年10月16日，CVE達(dá)到了一個(gè)重要的里程碑——超過1000個(gè)正式條目。截至2000年12月30日，CVE已經(jīng)達(dá)到了1077個(gè)條目，另外還有1047個(gè)候選條目（版本20001013）。至2013年已經(jīng)有超過28個(gè)漏洞庫和工具聲明為CVE兼容。

　　據(jù)悉，2019年共公布了17,306個(gè)CVE漏洞，其中包括4337個(gè)高風(fēng)險(xiǎn)漏洞、10,956個(gè)中等風(fēng)險(xiǎn)漏洞和2013年的低風(fēng)險(xiǎn)漏洞。截至12月15日，共錄得17,447個(gè)漏洞，其中高風(fēng)險(xiǎn)漏洞4168個(gè)，中等風(fēng)險(xiǎn)漏洞10710個(gè)，低風(fēng)險(xiǎn)漏洞2569個(gè)。

　　根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）國家漏洞數(shù)據(jù)庫的官方數(shù)據(jù)，2005年至2016年間，漏洞數(shù)量每年在4000至8000個(gè)之間。然而，到了2017年，這一數(shù)字飆升至超過1.4萬，此后每年發(fā)布CVE的數(shù)量都創(chuàng)下新高。K2 Cyber Security注意到了最近創(chuàng)紀(jì)錄的激增，它聲稱，COVID-19大流行可能對今年的數(shù)據(jù)披露造成了影響。

　　目前，各公司仍在努力尋找應(yīng)用程序快速上市和代碼安全之間的平衡。COVID-19大流行是今年的一個(gè)主要因素，“該供應(yīng)商的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Pravin Madhani說。

　　”這促使許多組織匆忙將他們的應(yīng)用程序投入生產(chǎn)；他們運(yùn)行更少的QA周期，更多地使用第三方、遺留和開放源代碼，這是漏洞增加的關(guān)鍵風(fēng)險(xiǎn)因素?！?/p>

　　Pravin Madhani稱，為了降低這些風(fēng)險(xiǎn)，DevOps團(tuán)隊(duì)?wèi)?yīng)該在生命周期中盡可能遠(yuǎn)離安全問題，而系統(tǒng)管理員應(yīng)該盡快打補(bǔ)丁，以確保操作系統(tǒng)和關(guān)鍵軟件是最新的。

　　此外，Pravin Madhani說，”最后，重要的是要有一個(gè)安全框架，提供一個(gè)深入防御的架構(gòu)?，F(xiàn)在是時(shí)候從9月23日剛剛公布的NIST SP800-53中吸取教訓(xùn)了。新的安全和隱私框架標(biāo)準(zhǔn)現(xiàn)在要求運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）作為框架中的一個(gè)附加安全層。“