CERT: Статистика выявленных уязвимостей за 2006 год
Координационный центр Computer Emergency Response Team (CERT) опубликовал статистику выявленных уязвимостей за 2006 год. Сбор статистики группой CERT осуществляется на основе публичных источников и тех отчётов, которые присылают пользователи. Всего выявлено 8064 уязвимости, что на 35% больше, чем в 2005 году.
Другие "сборщики" также зафиксировали существенный рост количества уязвимостей: данные Vulnerability Database, Open-Source Vulnerability Database и Symantec Vulnerability Database говорят о росте на 20-35%.
По мнению Арта Маниона, представителя CERT, причина такого скачка в данных статистики обусловлена, прежде всего, тем, что появилось достаточное количество качественных сервисов и программ, которые облегчили выявление "слабых мест" в ПО. Ощутимый вклад вносят и сообщества пользователей, достаточно активно информирующих о тех или иных проблемах безопасности.
Простой поиск с помощью Google Code Search помогает специалистам и просто опытным пользователям выявлять потенциальные уязвимости. "Большое количество отчётов о возможных уязвимостях специалисты компаний, специализирующихся на вопросах безопасности ПО, получили от пользователей, которые использовали этот поисковый механизм", - говорит Стивен Кристи, редактор CVE Project.
Повышение количества уязвимостей не означает, что интернет стал намного опасней для пользователей по сравнению с 2005 годом. К примеру, многие веб-приложения, в которых были обнаружены уязвимости, создаются и используются относительно небольшими сообществами, а не крупными игроками сетевого рынка. Однако в то же время приложения, написанные на PHP, занимают особо "почётное" место в статистических отчётах: доля этих приложений в списке "незащищенных" составляет 43%. PHP используют не только небольшие сетевые проекты, но и крупные компании вроде Yahoo и Google.
Доля уязвимостей, обнаруженных в операционных системах, за 2006 год снизилась, особенно на фоне доминирования в этом вопросе веб-приложений. Однако это вовсе не означает, что безопасность тех или иных ОС возросла. "Вредоносные приложения по-прежнему пытаются атаковать системы, просто сейчас они реже используют для этого уязвимости ядра ОС", - говорит Оливер Фредрикс, директор по вопросам безопасности компании Symantec.
