1.1.3　軟件安全

CERT/CC監控漏洞信息的公開來源，同時也經常會接到漏洞報告。漏洞信息是以CERT漏洞備忘錄和US-CERT漏洞備忘錄的形式公布 ^[1]。CERT/CC不再是漏洞報告的唯一來源，許多其他組織，包括賽門鐵克（Symantec）和MITRE，也報告漏洞數據。

目前，漏洞信息的最佳來源之一是美國國家標準與技術研究所（NIST）的全美國漏洞數據庫（NVD）。NVD整合來自多個來源的漏洞信息，其中包括CERT/CC，因此它包含各種信息來源的漏洞的一個超集。

圖1.3顯示了NVD從2004年到2012年第三季度編目的漏洞數量。本書第一版繪制的是從1995年至2004年向CERT/CC報告的漏洞。遺憾的是，這些數字繼續攀升。

圖1.3　NVD編目的漏洞

CERT的首席科學家，Gregory E.Shannon博士，在美國國土安全內務委員會前的證詞描述了軟件的安全環境[Shannon 2011]，如下所示。

今天的運營網絡環境是復雜而動態的。用戶需求和環境因素都在不斷變化，這會導致實踐和技術意料之外的使用、重新配置和不斷演化。在這些環境中，不斷發現新的缺陷和漏洞，利用這些環境的手段繼續增加。CERT協調中心僅上個月就編目了約250000個惡意工件實例。在這種環境中，公共和私營機構既要應對每天反復發作的攻擊，也要應對更嚴重的以前沒有經歷過的故障（但不一定是意外），這些都要求快速、有能力和敏捷的反應。

由于威脅的數量和復雜性增加的速度超出了我們開發與部署更安全的系統的能力，因此未來受攻擊的風險相當大并會增加。