中科天齐软件安全中心

对于所有的零日，定制的恶意软件和其他完全未知的安全漏洞，它们已经存在多年并被广泛利用。尽管软件供应商和开发人员尽了最大努力，但其中许多漏洞已经存在多年。

自2017年9月以来，微软的Azure应用服务(Azure App Service)中出现安全漏洞，导致使用Java、Node、PHP、Python和Ruby 编写的应用程序的源代码暴露了至少四年。

2021年，在财务损失及业务中断影响方面有几起引人注目的大型网络攻击事件。从这些网络攻击事件中不难发现，安全漏洞在攻击中起到至关重要的作用。

来自数十项渗透测试和安全评估的数据表明，几乎每个组织都可能被网络攻击者渗透。绝大多数企业都可能在一个月内受到攻击，攻击者使用常见的技术，如破坏证书，利用已知的软件和Web应用程序漏洞，或利用配置缺陷。

最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱，其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~ 2.14.1版本的Apache Log4j2均存在改漏洞

研究人员发现了14种针对现代浏览器的跨站点数据泄漏攻击，包括Tor浏览器、Mozilla Firefox、谷歌Chrome、Microsoft Edge、Apple Safari和Opera等。

在如今的敏捷开发过程中，第三方代码库已经成为每个企业及开发人员不可或缺的一部分。但这也意味着，在引入第三方代码的过程中，很可能无意间将存在安全漏洞的代码直接置入开发产品当中，增加软件供应链风险。、

一个企业可能犯下的最大错误之一是盲目地将技术投入到问题中，而不是适当地投资建立安全团队。 勒索软件攻击无论对小型初创企业还是全球巨头都是一个致命的打击。

当前开源代码已被广发使用，检测开源代码安全性有多重要?这些“狡猾”又多变的漏洞缺陷可以帮你直观地看到安全的重要性。