Bugcrowd公司2022版“Priority One Report”涵蓋去年各種安全趨勢。報告中稱，其漏洞眾測平臺去年向金融服務公司提交的P1級（Priority One：第一優(yōu)先級）漏洞報告增加了185%。Bugcrowd表示，P1級報告所涉漏洞可導致提權（從未授權提升至管理員權限）或遠程代碼執(zhí)行、財務失竊等等?？傮w而言，2021年P1級漏洞增加了186%。

　　Bugcrowd創(chuàng)始人Casey Ellis補充道，轉向遠程辦公的全球趨勢促使各組織將更多資產放到網上。為保護這些資產，面向道德黑客的投資也隨之增多。Bugcrowd發(fā)現，去年提交的全部有效漏洞報告中24%涉及P1和P2級威脅。P2級威脅就是影響軟件安全及其所支持業(yè)務進程的漏洞。

　　Ellis指出，民族國家黑客組織也變得更加肆無忌憚，不再那么關心潛蹤匿跡問題，2021年里愈加頻繁地利用已知漏洞發(fā)起攻擊。

　　“值得注意的是，由于勒索軟件經濟的興起和黑客國家隊與電子犯罪團伙之間界限的持續(xù)模糊，此類威脅也民主化了。所有這些情況，再加上威脅面的不斷擴大和攻擊收益的愈加豐厚，整個局面變得岌岌可危。2022年，我們預計形勢會更加惡化?！?/p>

　　甚至P3級漏洞，也就是影響多名用戶且?guī)缀醪恍枰脩艚换ゾ湍苡|發(fā)的那類漏洞，在2021年也出現了同比增長。

　　漏洞報告數量總體增長82%，為這些漏洞報告支付的酬金則增長了106%。軟件業(yè)的漏洞眾測支出也增長了73%。相較于2020年，2021年前三季度政府部門收到的漏洞報告數量同比上漲1000%。

　　Bugcrowd還發(fā)現，跨站腳本是最常見的漏洞類型，而敏感數據暴露則從十大漏洞列表的第九位上升到了第三位。

　　Bugcrowd解釋道：“2021年頂級漏洞排行榜上出現了一些變化，跨站腳本取代訪問控制受損成為了最常見的漏洞類型，重回2019年榜眼位置，反映出2020和2021兩年間自研Web應用快速部署的趨勢?！?/p>

　　“由于業(yè)界越來越重視通過掃描來發(fā)現漏洞，涉內部資產的敏感數據暴露從去年的第九位躍升六位，來到了第三的位置。這是疫情引發(fā)快速數字化轉型期間攻擊面擴大且復雜性增加的直接后果。十大常見漏洞類型榜單的變化展現了漏洞類別的自然生命周期，也反映出了建設者和破壞者間互動的‘貓鼠游戲’本質：眾測白帽子在賞金激勵下努力挖掘新的普遍性漏洞，這些漏洞最終通過自動化工具加以解決（導致激勵降低），然后驅動大家熱切追尋的新漏洞類型出現?！?/p>