安全網(wǎng)站TheBestVPN于3月6日發(fā)布了一份研究報告，該報告顯示Debian Linux成為過去20年中漏洞最多的操作系統(tǒng)。 在過去的20年中，Microsoft積累了6,814個技術(shù)漏洞，遠高于其他技術(shù)公司的漏洞。 從1999年到2019年，安全漏洞的數(shù)量幾乎增加了五倍，從894個增加到12,174個。據(jù)悉，此報告的數(shù)據(jù)來自美國國家標準技術(shù)研究院(NIST)的國家漏洞數(shù)據(jù)庫。

據(jù)數(shù)據(jù)顯示，從 1999 年到 2019 年，Debian Linux 的累計漏洞數(shù)為 3067，排名第一。Android 排名第二，它累計有 2563 個漏洞。Linux kernel 則排名第三，累計漏洞數(shù)為 2357。

而 Mac OS X 則以 2212 個漏洞排名第四。作為 Windows 平臺排名最前者，Windows Server 2008 以 1421 個漏洞排名第 9。

眾所周知，Linux 有很多發(fā)行版，主要分為由商業(yè)公司維護的商業(yè)版和開源社區(qū)維護的免費發(fā)行版，分別以 Redhat 和 Debian 為代表。Debian Linux 系統(tǒng)基礎(chǔ)核心小，不僅穩(wěn)定，而且占用內(nèi)存小。由于其優(yōu)秀的表現(xiàn)和穩(wěn)定性，Debian 受到 VPS 用戶的歡迎。

針對 Debian Linux 的漏洞，TheBestVPN 表示，“作為一款免費易上手的操作系統(tǒng)，Debian Linux 最近 20 年累計有 3067 個安全漏洞。不過，面對這些漏洞，Debian Linux 社區(qū)并非無動于衷。根據(jù)其官網(wǎng)披露，社區(qū)非?！撠?zé)’，他們一般會在漏洞被曝光的幾天內(nèi)就修復(fù)它?！?

如果聚焦2019 年，我們發(fā)現(xiàn) Android 以 414 個漏洞排名第一，而 Debian Linux 排名第二，它有 360 個漏洞。

從第三名到第五名，全被微軟囊括，依次是 Windows Server 2016(357 個漏洞)、Windows 10(357)和 Windows Server 2019(351)。

“根據(jù)我們的分析表明，Debian Linux 可能是問題最多的操作系統(tǒng)。但在 2019 年，Android 的漏洞數(shù)量比 Debian Linux 多 54 個?！薄盩heBestVPN 在報告中寫道，“Android 漏洞之所以如此多，是因為 Android 手機中有大量預(yù)裝的第三方應(yīng)用，它們可能存在一些問題?！?

巨頭漏洞多，微軟“霸榜”

TheBestVPN 稱“最近 20 年，商業(yè)變得越來越依賴新要素、新技術(shù)，比如數(shù)據(jù)、云計算和移動互聯(lián)網(wǎng)等，這也導(dǎo)致企業(yè)面臨更多的網(wǎng)絡(luò)攻擊?！?

從廠商角度看，作為全球最成功的科技公司之一，微軟產(chǎn)品“樹大招風(fēng)”，從 1999 年到 2019 年，微軟累計被曝出 6814 個技術(shù)漏洞，排名第一。同時，這也讓它成為最容易被攻擊者盯上的供應(yīng)商。

在微軟之后，排名第二的是甲骨文，20 年累計有 6115 個漏洞。

第三到第五名依次是 IBM、谷歌、蘋果，相對應(yīng)的漏洞數(shù)為 4679、4572、4512。

如果只看 2019 年，微軟以 668 個漏洞遠超其他公司，牢牢占據(jù)排行榜第一。其次是谷歌(609)、甲骨文(489)和 Adobe(441)以及思科(440)。

20 年，漏洞數(shù)量增長近 14 倍

根據(jù)數(shù)據(jù)表明，1999 年只有 894 個技術(shù)漏洞，20 年后，漏洞數(shù)量高達 12174，增長近 14 倍。

據(jù)悉，2018 年的漏洞數(shù)量最多，高達 16556，平均每天有近 45 個漏洞。這一年，免費的開源操作系統(tǒng) Debian GNU/Linux 曝出 1197 個漏洞，堪稱 2018 年最易遭受攻擊的產(chǎn)品。

基于這些數(shù)據(jù)，我們得知：Android 在 2016 年、2017 年和 2019 年的漏洞數(shù)量最多，均為當年“榜首”。與之相比，蘋果的 iOS 一次未上榜。這也從側(cè)面印證了 iOS 比 Android 相對更安全。

此外，谷歌 Chrome 瀏覽器連續(xù)三年(2010、2011 和 2012)成為漏洞最多的產(chǎn)品。而在編程語言中，PHP 在 2007 年以 114 個漏洞排名第一。

DoSS 攻擊“不可怕”，代碼執(zhí)行需警惕

根據(jù) TheBestVPN 的研究，這些漏洞可被分成 13 種，包括代碼執(zhí)行、DoSS 攻擊、緩沖區(qū)溢出、跨站腳本攻擊等。

在 2019 年的漏洞類別中，有超過四分之一的漏洞屬于代碼執(zhí)行，它以 25.3% 的占比排名第一。CSS(跨站腳本攻擊)排名第二，占比 17.7%。而 DDoS 攻擊只占 10%，排名第四。

值得注意的是，代碼執(zhí)行也是 2018 年漏洞最多的類別，有 3041 個安全漏洞。

2019 年，第三到第五名的漏洞類別分別是緩沖區(qū)溢出、DoSS 和 Gain Information，相對應(yīng)的占比為 13.9%、10.2%、10%。

你應(yīng)該擔心啥?

CVSS 是一套通用漏洞評分系統(tǒng)，評分從 0 到 10，評分越高，標志著漏洞危害和影響越大。通過 CVSS，我們可以簡要了解從 1999 年到 2019 年包含漏洞的產(chǎn)品所帶來的安全風(fēng)險。

最近 20 年，在漏洞最嚴重的 TOP 50 產(chǎn)品中，Adobe Flash Player 得分最高，為 9.4。這意味著，這個應(yīng)用中被發(fā)現(xiàn)的 bug 可能帶來很嚴重的問題，比如數(shù)據(jù)泄露等。

第二名到第五名依次是 Adobe Acrobat(9.2)、微軟 Office(9.1)、Adobe Acrobat Reader(8.9)和 Internet Explorer(8.6)。在 TOP 15 中，蘋果的 watchOS 和 iTunes 評分最低，分別為 7.4、7.5，這意味著相對而言，其漏洞危害較小。