根據(jù)安全廠商Secunia本周發(fā)布的端點安全報告顯示，對于用戶和企業(yè)而言，第三方應用安全問題要比微軟程序的問題更嚴重。

在2012年，Secunia通過其安裝在用戶計算機上的個人安全軟件從幾百萬臺電腦收集了匿名數(shù)據(jù)，并發(fā)布了端點安全報告《2013 Secunia漏洞預覽》，介紹了這些計算機上安裝的50個最常用程序中存在的漏洞問題，其中29個程序來自微軟，而其他則來自第三方供應商。

在前50個最常用程序中發(fā)現(xiàn)的漏洞有86%感染第三方程序，而在最受影響的第三方程序中，大多數(shù)程序都是常用程序，包括甲骨文的Java和Adobe的Flash和Reader應用。

在這些發(fā)現(xiàn)的漏洞中，80%的漏洞在披露的當天就提供了修補程序，這比2011年報告的數(shù)字增長了8%。然而，Secunia的專家估計這個數(shù)字不太可能會進一步改善，這意味著補丁管理已經(jīng)不能解決這些問題。對于存在未修補漏洞的程序，Secunia首席安全官Thomas Kristensen建議企業(yè)仔細研究其部署的第三方應用，以確定它們是否值得冒險，如果不值得，是否可以使用更安全的替代品來替換它們。

“只有兩種方式可以保護這些程序：部署補丁程序或者不要安裝它們，”Kristensen在SearchSecurity的郵件采訪中稱，“對于企業(yè)而言，應該評估這些程序是否是關鍵業(yè)務型程序，如果不是的話，企業(yè)需要考慮不要在企業(yè)中使用這些程序。”

盡管安全界對零日漏洞很關注，但Secunia指出，發(fā)現(xiàn)零日漏洞的數(shù)量正在逐年下降。在2012年僅發(fā)現(xiàn)了8個零日漏洞，而2011年為14個。對于Kristensen而言，這揭露了攻擊的經(jīng)濟現(xiàn)實以及軟件安全普遍的糟糕狀態(tài)。

“與零日漏洞相比，漏洞更加便宜，且更容易使用，”他表示，“攻擊者并沒有必要花費時間和金錢來開發(fā)零日漏洞，因為周圍存在很多易受攻擊的未打補丁的軟件。”

另一方面，該報告指出微軟應該繼續(xù)提高其應用的安全性。雖然其XP操作系統(tǒng)曾是攻擊者的“出氣筒”，但Secunia報告稱，在過去五年中，感染微軟程序的漏洞比率從43%下降到14%。

用戶必須要求應用安全性

Web瀏覽器的安全性是Secunia報告中的亮點之一。雖然大多數(shù)主流瀏覽器比一般程序存在更多漏洞，但廠商通常會迅速提供補丁程序，這突出了軟件廠商市場激烈的競爭。從經(jīng)驗來看，安全不是一個賣點，然而Kristensen感覺用戶比較重視web瀏覽器的安全性。

“安全性一直是主要的競爭因素，如果你提供一個不安全的瀏覽器，用戶會選擇其他瀏覽器，你將失去市場份額，”他表示，“而對于Java和Flash這樣的程序，用戶沒有其他選擇，這也是為什么他們不安全，但他們還能繼續(xù)還生存下去。”

當消費者并沒有要求產(chǎn)品的安全性時，其結(jié)果就是SCADA軟件安全性的當前狀態(tài)，該報告將其與10年前的主流軟件安全作比較。SCADA軟件漏洞的數(shù)量在過去五年間有所增加，但更令人擔憂的是，大家普遍認為升級程序 “不穩(wěn)定”。近幾年出現(xiàn)的SCADA和工業(yè)控制系統(tǒng)（ICS）安全問題成為國家安全問題的主題，關鍵基礎設施遭受網(wǎng)絡攻擊的事故屢見不鮮。Kristensen表示，SCADA軟件存在一定的安全威脅，他認為客戶應該向SCADA廠商施壓，讓他們提高其產(chǎn)品的安全性，就像他們對web瀏覽器廠商那樣。

“客戶必須開始對軟件廠商提出安全要求。SCADA軟件并不像瀏覽器產(chǎn)品那么流行，但總是涉及金錢因素，”他表示，SCADA客戶必須要求他們購買的產(chǎn)品是安全的，這應該在合同中聲明。有錢能使鬼推磨，客戶能夠影響其購買的產(chǎn)品質(zhì)量。