CNNVD于7月19日发布了《2022年度网络安全漏洞态势报告》,基于2022年国家信息安全漏洞库的数据,对漏洞增长、分布、修复和攻击利用情况进行了相对详细的介绍和趋势的分析。结合这个报告,我分享一些我的想法。

为什么我想分享这个?

这个主要是因为CNNVD在国内信安圈的地位决定的。CNNVD是中国国家信息安全漏洞库,英文名称“China National Vulnerability Database of Information Security”,简称“CNNVD”,隶属于中国信息安全测评中心,是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家级信息安全漏洞库,为我国信息安全保障提供基础服务。 除了CNNVD外,国内外知名的厂商、行业组织都会稿自己的漏洞收集平台,这里面最有名的包括CVENVDCNVD和CNNVD,当然也包括已经被关闭了乌云。其中CVE(公共漏洞和暴露)是行业内最受广泛认可的漏洞字典表,给已知的漏洞或弱点一个唯一的名称和ID(格式是CVE-YYYY-XXXX),NVD(美国国家通用漏洞数据库)则是美国政府官方的漏洞数据库。虽然这两个的内容都很有参考价值,但他们要么直接由美国政府主办(CVE主要由美国国土安全部网络安全和信息保证办公室(OCSIA)赞助),要么接受美国政府资助,所以在国内最权威的漏洞数据库是CNVD和CNNVD。

报告有哪些需要关注的内容?

  1. 2022年新增漏洞近25000个,达到历史新高。其中超危漏洞4200个。
  2. 新增漏洞涨幅为19.28%,为2018年以来最高,而且是远远超过前几年。
  3. 国外厂商的漏洞数量为22087个,占比89.06%;国内厂商相应数据分别是2714个,占比10.94%。个人认为这个主要代表我们在使用网信的软硬件占比情况,并不代表国内厂商的产品安全性更好。
  4. 国外厂商漏洞排名前五名是Google、MicroSoft、Oracle、IBM、Adobe;国内厂商为腾达、华为、吉翁电子、联发科(台)、友讯(台)。个人认为这显示了在网络设备、服务器方面国内厂商的市场占有率还不错,但在一些基础软件(操作系统、数据库、浏览器等)方面,国内国际厂商差距还很大。
  5. 从漏洞影响的产品范围来看,基本主流的操作系统、浏览器、数据库都有大量的漏洞,说明没有一个厂商是真正安全的,我们必须保持警惕,做好安全更新,开源产品也一样。当然从漏洞修复率看,大厂相对更值得信赖,但修复率基本都不会到100%。
  6. 作为技术人员,我们更应该关注漏洞类型的分布。前十名是跨站脚本、缓冲区错误、SQL注入、代码问题、输入验证错误、资源管理错误、路径遍历、跨站请求伪造、授权问题、信息泄露。其中跨站脚本和缓冲区错误从2018年以来,一直牢牢占据前两名。
  7. 2022年漏洞被利用排名第二名的就是Spring Framework的一个代码注入漏洞CNNVD-202203-2514/CVE-2022-22965。作为软件开发人员得好好排查一下。