安全公司 Risk Based Security 新近发布的报告显示，2017年安全漏洞披露数量达创纪录的20,832个。

该公司的《漏洞数据库速查》( VulnDB QuickView )报告称，去年披露的漏洞数量环比上升31.0%。美国国家漏洞数据库(NVD)收录的漏洞数量同样增加了。

Risk Based Security 公布的2017年披露漏洞中，7900个并未收录进MITRE的通用漏洞列表(CVE)和NVD，其中44.5%的漏洞在新版通用漏洞评分系统(CVSSv2)中得分处于7.0到10之间，属于高危漏洞。这就给全世界各类组织机构带来了重大风险，因为未收录进CVE和NVD的事实可能会让他们根本没有注意到这些漏洞的存在。

报告称，2017年，39.3%的被披露漏洞CVSSv2得分超过7.0，其中48.5%可被远程利用，31.5%有公开的漏洞利用程序。2017年漏洞中过半数(50.6%)与网站相关，而28.9%的网站相关漏洞是跨站脚本漏洞。

CVSS得分在9.0到10.0之间超高危漏洞的十大出品商包括谷歌(503个漏洞)、SUSE(301)、Canonical(285)、红帽(274)、Silent Circle 子公司SGP(257)、Adobe(256)、Mozilla(246)、三星(228)、Oracle(201)和施乐(198)。

带CVSSv2评分上9.0的漏洞最多的十大产品包括谷歌）Pixel/Nexus设备(354个漏洞)、Ubuntu (285)、SilentOS (257)、红帽 Linux (253)、Firefox (246)、SUSE Linux 企业级桌面系统 (226)、三星移动设备 (226)、SUSE Linux 企业级服务器系统 (197)、OpenSUSE Leap (196)和 FreeFlow Print Server (191)。

去年，至少44.8% (9,335) 的漏洞是与厂商协同披露的，只有18.6% (3,875)不是协同披露。经由厂商或第三方漏洞奖励项目曝光的漏洞仅占5.9%。

虽然大部分被披露漏洞(72.8%)都推出了更新或某种形式的补丁，但23.2%的漏洞目前没有可用解决方案。不过，去年报告的漏洞中有443个是没有任何风险的不准确披露，没有必要做任何缓解。

报告还揭示，2017年报告的漏洞中存在于SCADA产品中的只有1.7%，比2016年的2.8%减少了不少。52.2%的SCADA漏洞是可远程利用的，73.5%对产品完整性有影响，61.3%与不恰当的输入验证有关。

Risk Based Security 漏洞情报副总裁布莱恩·马丁称：“跟踪并分类漏洞补丁的机构在2017年并不轻松，因为这是漏洞披露创纪录的一年。我们持续见证被黑企业和数据泄露事件的增多，数字资产防护工作的难度和重要性屡创新高。如果你的漏洞情报解决方案没有覆盖2017年披露的2万多个漏洞，那你的公司必然面临比以往更大的风险。”

完整报告地址：https://pages.riskbasedsecurity.com/hubfs/Reports/2017/2017%20Year%20End%20Vulnerability%20QuickView%20Report.pdf