2月6日由Risk Based Security发布的一项报告显示，去年公布的漏洞数量创造了新的纪录。这份名为《2016年度漏洞概览》的报告列举了Risk Based Security通过VulnDB漏洞检测平台提供的分析结果。

报告显示，2016年间VulnDB共报告了15000个漏洞，这一数据刷新了历史纪录。雪上加霜的是，不仅仅漏洞的数量在增加，而且报告的问题也日趋严重。常见漏洞评级体系（CVSS）是一项测量安全漏洞的风险程度的行业标准，漏洞的评级和其造成的影响成正比。2016年的已报漏洞中，21.3%的CVSS评级在9.0和10.0之间。此外，2016年间漏洞报告的方式繁多，然而相对于业界的各自为战，故障激励项目的成果令人振奋。

虽然漏洞的类型很多，2016年报告最多的Web漏洞攻击是跨站脚本攻击（XSS）。

下列是《2016年度漏洞概览》列举的一些重点问题：

1. 前所未有的漏洞数量

Risk Based Security的2016软件漏洞报告发现今年检测到的漏洞数量创下历史纪录，漏洞奖励项目是发现漏洞的主力军之一。

2. 漏洞数量仍在稳步上升

根据Risk Based Security的VulnDB漏洞跟踪系统，2016年的漏洞数量高达15000，这一数目仍保持增长趋势。

3. 漏洞影响力的变化

漏洞的影响可能随时间变化而变化。常见的漏洞评级体系（CVSS）试图衡量特定漏洞的影响，而该评级近年来一直呈现升高趋势，表明漏洞的数量和严重程度都在上升。

4. 2016年，漏洞威胁性进一步提高

具体来看，2016年的已报漏洞中，21.3%的CVSS评级在9.0和10.0之间。

5. 供应商验证了大多数漏洞

在VulnDB所报告的漏洞中，80.1%的漏洞在公开前由一家供应商验证。

6. 漏洞奖励项目发现更多的缺陷

根据VulnDB的数据，自2013年以来，漏洞奖励项目已经成为漏洞信息的主要来源，其发现问题的能力远超供应商自身。

7. 供应商的响应时间存在差异

在处理2016年的各个漏洞时，不同的供应商的响应速度存在差异。VulnDB使用了漏洞时间和风险度量系统（VTEM）追踪了各企业的响应速度。谷歌的响应时间为三天，名列第一。

8. XSS成为最常见的Web漏洞

根据VulnDB对Web漏洞的观测，跨站脚本（XSS）在占据了2016年的Web漏洞报告的37%。

（报告全文获取链接：https://pages.riskbasedsecurity.com/2016-ye-vuln-quickview ）