高严重性漏洞的变化情况
接下来,我们来重点关注一下高严重性的漏洞(在通用安全漏洞评估系统CVSS v2中高于7的漏洞)。
从上图中我们可以看到,虽然2017年安全漏洞的数量激增,但是除了JavaScript和PHP之外,报告中涵盖的大多数语言中高严重性漏洞的百分比都在下降。
而这得益于发现安全漏洞的自动化工具。这些工具能够很好的发现漏洞,但是漏洞的严重程度并不高,这也是我们看到中等严重的漏洞数量增加的原因。
不同语言的不同安全漏洞(CWE)
为了更加严谨的研究各种编程语言的安全性,接下来我们要检查每种语言中出现的漏洞类型,同时为了方便理解它们的弱点和长处,我们分析了随着时间的推移在每种语言中发现的CWE类型。
从图中我们可以看到站点脚本(XSS)(也称为CWE-79)和输入验证(也称为CWE-20)是出现频率最高的CWE。除此之外,其它出现频率较高的CWE包括信息泄漏/泄露(CWE-200)、路径遍历(CWE-22)、权限和访问控制(CWE-264)。
当漏洞变得越来越流行时,会有解决这个问题的框架出现,同时开发人员也会对该漏洞越来越熟悉了解,所以,可能在可预见的未来这个漏洞就会消失。 |