在過去的一年中，美國當局發(fā)布了突破歷史紀錄數(shù)量的CVE，這是連續(xù)第四年創(chuàng)新高。截至12月15日，US-CERT漏洞數(shù)據(jù)庫發(fā)現(xiàn)和分配的生產(chǎn)代碼漏洞數(shù)量超過2019年的總量。

　　CVE 的英文全稱是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE開始建立是在1999年9月，起初只有321個條目。在2000年10月16日，CVE達到了一個重要的里程碑——超過1000個正式條目。截至2000年12月30日，CVE已經(jīng)達到了1077個條目，另外還有1047個候選條目（版本20001013）。至2013年已經(jīng)有超過28個漏洞庫和工具聲明為CVE兼容。

　　據(jù)悉，2019年共公布了17,306個CVE漏洞，其中包括4337個高風險漏洞、10,956個中等風險漏洞和2013年的低風險漏洞。截至12月15日，共錄得17,447個漏洞，其中高風險漏洞4168個，中等風險漏洞10710個，低風險漏洞2569個。

　　根據(jù)美國國家標準與技術(shù)研究所（NIST）國家漏洞數(shù)據(jù)庫的官方數(shù)據(jù)，2005年至2016年間，漏洞數(shù)量每年在4000至8000個之間。然而，到了2017年，這一數(shù)字飆升至超過1.4萬，此后每年發(fā)布CVE的數(shù)量都創(chuàng)下新高。K2 Cyber Security注意到了最近創(chuàng)紀錄的激增，它聲稱，COVID-19大流行可能對今年的數(shù)據(jù)披露造成了影響。

　　目前，各公司仍在努力尋找應用程序快速上市和代碼安全之間的平衡。COVID-19大流行是今年的一個主要因素，“該供應商的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Pravin Madhani說。

　　”這促使許多組織匆忙將他們的應用程序投入生產(chǎn)；他們運行更少的QA周期，更多地使用第三方、遺留和開放源代碼，這是漏洞增加的關(guān)鍵風險因素?！?/p>

　　Pravin Madhani稱，為了降低這些風險，DevOps團隊應該在生命周期中盡可能遠離安全問題，而系統(tǒng)管理員應該盡快打補丁，以確保操作系統(tǒng)和關(guān)鍵軟件是最新的。

　　此外，Pravin Madhani說，”最后，重要的是要有一個安全框架，提供一個深入防御的架構(gòu)?，F(xiàn)在是時候從9月23日剛剛公布的NIST SP800-53中吸取教訓了。新的安全和隱私框架標準現(xiàn)在要求運行時應用程序自我保護（RASP）作為框架中的一個附加安全層?！?/p>