1.1.3　软件安全

CERT/CC监控漏洞信息的公开来源，同时也经常会接到漏洞报告。漏洞信息是以CERT漏洞备忘录和US-CERT漏洞备忘录的形式公布 ^[1]。CERT/CC不再是漏洞报告的唯一来源，许多其他组织，包括赛门铁克（Symantec）和MITRE，也报告漏洞数据。

目前，漏洞信息的最佳来源之一是美国国家标准与技术研究所（NIST）的全美国漏洞数据库（NVD）。NVD整合来自多个来源的漏洞信息，其中包括CERT/CC，因此它包含各种信息来源的漏洞的一个超集。

图1.3显示了NVD从2004年到2012年第三季度编目的漏洞数量。本书第一版绘制的是从1995年至2004年向CERT/CC报告的漏洞。遗憾的是，这些数字继续攀升。

图1.3　NVD编目的漏洞

CERT的首席科学家，Gregory E.Shannon博士，在美国国土安全内务委员会前的证词描述了软件的安全环境[Shannon 2011]，如下所示。

今天的运营网络环境是复杂而动态的。用户需求和环境因素都在不断变化，这会导致实践和技术意料之外的使用、重新配置和不断演化。在这些环境中，不断发现新的缺陷和漏洞，利用这些环境的手段继续增加。CERT协调中心仅上个月就编目了约250000个恶意工件实例。在这种环境中，公共和私营机构既要应对每天反复发作的攻击，也要应对更严重的以前没有经历过的故障（但不一定是意外），这些都要求快速、有能力和敏捷的反应。

由于威胁的数量和复杂性增加的速度超出了我们开发与部署更安全的系统的能力，因此未来受攻击的风险相当大并会增加。