老牌代码安全审计机构 NCC Group 的安全工程师克林特·吉布勒称，自动漏洞扫描器产生的结果大多是误报，但即使是无用功，也比人工处理要经济实惠得多。

克林特·吉布勒

日前在印度果阿邦举行的Nullcon安全大会上，吉布勒称，他曾用一款自动扫描器对NCC横跨10个行业的100家客户进行了漏洞扫描。结果产生了大约90万个安全相关的警报，某些行业中，误报率高达89%。即使是“最好”的结果，误报率也高达50%。

这次扫描是在2014年2月到去年5月之间进行的，每家公司被扫描了4次，所有结果都由 NCC Group 的成员人工审核。吉布勒估测，用以跟踪处理误报的资源消耗是十分巨大的，但对大多数公司而言，自动扫描器仍不失为一项经济实惠的选择。

假设一名安全工程师的年薪为7.5万美元，评估每条自动扫描器警报耗时少于1分钟。那么，用于排除误报的时间浪费大概在1~9周之间。最好的情况下，排查这些扫描结果（包括真实警报和误报）的人工在1000美元左右。最坏的情况则在1至1.6万美元左右。

大多数人在购买工具时都只看重价格，没有考虑到排查结果的人工耗费，以及警报有效率等等隐藏因素。不过，自动扫描工具依然具有其自身的价值，因为它们能一定程度上弥补与昂贵的渗透测试之间的差距。而且在不远的将来，自动扫描的作用可能会越来越大。

吉布勒通知了客户自动扫描测试中发现的漏洞，但大多数漏洞仍花去了客户10~20周的时间才修复，有些则整整1年过去了都还没打上补丁。

NCC的测试大约发现了9000种不同的安全缺陷，其中有1万条跨站脚本漏洞，是本次测试中数量最多的一类。受影响的公司主要来自休闲和媒体行业（25,769条）以及公共教育产业（15,550条）。

另外，吉布勒还表示，公司修复高危漏洞的速度未必比修复低风险性漏洞的速度快。