白帽子实验室（Whitehat Labs）的安全人员罗伯特·汉森，最近在博客中贴出从漏洞数据库查询到的一组网页（Web）应用安全漏洞的数据。这些数据显示，随着网站数量的飞速发展，网页应用的安全漏洞也在急速上升。但有意思的是，从2008年开始，漏洞数据反而呈下降趋势。

从上图中可以看出，从90年代的几个到几十个数量，一直到2008年的峰值（4615）。自此之后开始下降，今年的web应用漏洞数量是1607个（截止到8月27日）。

许多人可能会觉得奇怪，感觉上这些年的漏洞是越来越多，而不是相反。罗伯特·汉森从以下的几个原因，解释了一下为什么会有这样的现象出现。

编码质量

编码质量这些年得到了提高，比过去更好的漏洞报告机制，更好的培训，源代码扫描，手工代码评估等等。

互联网的同质性

人们越来越少地使用新的代码。随着代码的成熟，人们更乐于使用已经得到验证的，威胁更小的，现下正在应用的代码，而不是倾向于新的代码框架体系。

像WordPress，Joomla或Drupal这样的主流内容管理系统，满足了网站使用者的大部分需求，并得到了长时间和大规模的测试，各自均拥有专门解决漏洞问题的安全响应团队。这样的网站平台，比其他没有这些基础的平台从概率上讲要安全的多。

攻击者更加倾向于定制的网页应用

攻击者的战术正在改变，他们更加倾向于攻击定制的网页应用，比如你的本地银行、第三方支付，或社交网站），而不是那些使用开放源代码的大量网站。而那些定制化的网站通常并不会把漏洞公开，因此很少能被列到上面的那些统计数字中。

人们发现的漏洞越来越少

网站开发–>产品服务–>漏洞–>黑客攻击–>补丁这个生态圈进化到一定地步后，由于利益的减少，那些研究人员会更加不愿意提交漏洞，而是更愿意直接与厂商打交道，或干脆把漏洞握在手中，待价而沽。现在厂商方面日益红火的漏洞奖励计划，就是摆在面前的例子。

无论怎样，这都是一个有趣的趋势，业内人士应该予以关注。也许这一个复杂现象的综合体，我们可能永远也无法彻底了解真相。但我们应该注意这些数据，因为其中可能隐藏着如何降低这些数字的线索。