您的位置:主页 > 家电 > 创意家电 >

ZDI报告安全漏洞披露的崛起

2019-09-02     来源:秦风网         内容标签:ZDI,报告,安全漏洞,披露,的,崛起,到目前为止,

导读:到目前为止,2018年是趋势科技零日活动非常繁忙的一年,该活动的目的是从安全研究人员处获取软件漏洞。在今年的前六个月,ZDI已经发布了600份安全建议。相比之下,2017年上

到目前为止,2018年是趋势科技零日活动非常繁忙的一年,该活动的目的是从安全研究人员处获取软件漏洞。

在今年的前六个月,ZDI已经发布了600份安全建议。相比之下,2017年上半年,ZDI发布了451份咨询报告。然而,尽管ZDI在2018年上半年发布的忠告比2017年增加了33%实际上,ZDI发布的零日咨询数量下降了42%。

总体而言,ZDI在2018年向安全研究人员支付了大约100万美元的奖金。

进一步阅读Brinqa如何为网络风险带来可行的见解......Splunk与LogRhythm:SIEM正面交流

“ThiZDI的主管BrianGorenc告诉eWEEK,他们已经领先于我们去年的这一点了,这主要是通过批量生产。

ZDI最初是惠普收购的TippingPoint的一部分。2010年,惠普又将TippingPoint卖给了趋势科技。在任何一年中,ZDI最大的事件是该集团的Pwn2Own现场黑客竞赛。在3月份的2018年活动中,ZDI向安全研究人员颁发了总计267,000美元,用于展示新的漏洞。然而,Pwn2Own并不是ZDI从研究人员那里获得漏洞的唯一时间。它全年都这样做。

“我们仍然看到大量的缓冲区溢出,命令注入错误,以及提交给程序的越界读/写问题,但是JIT中的漏洞[及时]编辑]越来越受欢迎,“Gorenc说。

就供应商而言,2018年上半年ZDI披露的22%是研华,后者开发工业和嵌入式系统。百分之十的披露对于Adobe产品而言,它是2017年上半年披露的最大供应商,占20%。每次披露的金额各不相同,Gorenc表示确实没有平均支出。

根据许多不同的因素,进入该计划的错误报告可能会有很大差异,“他说。“因此,我们不喜欢对事情进行平均分析,因为它并没有真正反映出错误提交给程序的真实价值。”

零日披露

一旦ZDI从研究人员那里获得漏洞,它就会向受影响的供应商进行私人披露。然后,供应商有120天的时间来解决问题,之后,ZDI公开披露了这个漏洞。如果在120​​天之后,供应商仍然没有修补问题并且ZDI发布公共咨询,那被归类为零日披露。在2018年的前六个月中只有23个公告超过了ZDI的披露政策,减少了与2017年同期报告的49%相比,这一比例为42%。

“一般来说,供应商正在改进他们的响应流程,”Gorenc说。“我们当然希望这种情况继续下去,但今年下半年可能看起来很不一样,[我们在即将到来的队列中仍有580个案例。“

SeanMichaelKerner是eWEEK和InternetNews.com的高级编辑。在Twitter@TechJournalist上关注他。

文章链接地址:http://www.cywimg.com/jiadian/chuangyijiadian/201909/1488.html

上一篇:RedHat承认Linux内核中的VirtualHoldup
下一篇:没有了

创意家电相关文章

创意家电推荐