1.1.3　軟件安全

CERT/CC監(jiān)控漏洞信息的公開來源，同時也經(jīng)常會接到漏洞報告。漏洞信息是以CERT漏洞備忘錄和US-CERT漏洞備忘錄的形式公布 ^[1]。CERT/CC不再是漏洞報告的唯一來源，許多其他組織，包括賽門鐵克（Symantec）和MITRE，也報告漏洞數(shù)據(jù)。

目前，漏洞信息的最佳來源之一是美國國家標準與技術研究所（NIST）的全美國漏洞數(shù)據(jù)庫（NVD）。NVD整合來自多個來源的漏洞信息，其中包括CERT/CC，因此它包含各種信息來源的漏洞的一個超集。

圖1.3顯示了NVD從2004年到2012年第三季度編目的漏洞數(shù)量。本書第一版繪制的是從1995年至2004年向CERT/CC報告的漏洞。遺憾的是，這些數(shù)字繼續(xù)攀升。

圖1.3　NVD編目的漏洞

CERT的首席科學家，Gregory E.Shannon博士，在美國國土安全內(nèi)務委員會前的證詞描述了軟件的安全環(huán)境[Shannon 2011]，如下所示。

今天的運營網(wǎng)絡環(huán)境是復雜而動態(tài)的。用戶需求和環(huán)境因素都在不斷變化，這會導致實踐和技術意料之外的使用、重新配置和不斷演化。在這些環(huán)境中，不斷發(fā)現(xiàn)新的缺陷和漏洞，利用這些環(huán)境的手段繼續(xù)增加。CERT協(xié)調(diào)中心僅上個月就編目了約250000個惡意工件實例。在這種環(huán)境中，公共和私營機構(gòu)既要應對每天反復發(fā)作的攻擊，也要應對更嚴重的以前沒有經(jīng)歷過的故障（但不一定是意外），這些都要求快速、有能力和敏捷的反應。

由于威脅的數(shù)量和復雜性增加的速度超出了我們開發(fā)與部署更安全的系統(tǒng)的能力，因此未來受攻擊的風險相當大并會增加。