修復高危險性漏洞所需時間，六個月内自 197 天增加至 246 天

資安廠商 NTT Application Security 日前發表的最新 AppSec Flash Report 調查報告指出，各家廠商修復高危險性資安漏洞所需的時間，在最近 6 個月内，自 197 天增加到 246 天。

這份報告主要調查資安漏洞在得到修復前的空窗期長度，因為在空窗期之内，漏洞很可能遭駭侵者用以發動駭侵攻擊。

最新的報告指出，自今年（2021）年初到六月底的半年期間，雖然最主要的五大類漏洞的平均修復日期和過去差別不大，但各種應用程式的漏洞修復空窗期，明顯都拉長了。資安廠商稱「這是常見漏洞修復的系統性失敗」。

根據 NTT Application Security 的資安專家指出，今年上半年一月到六月間，所有漏洞的平均修復需時，自年初的 205 天略為減少到六月的 202 天；而高度危險性的資安漏洞修復需時，卻從年初的 194 天大幅增加到六月的 246 天，多了快要 2 個月。

至於各類型、各種危險程度漏洞的修復比率，也自今年年初的 54%，下降到六月底的 48%；高危險性漏洞的修復比率，更是從年初的 50% 大幅下降到六月底的 38%。

該報告也分析了各種應用程式類型的漏洞出現比例。工具類應用程式中，有高達 65% 至少含有一個嚴重資安漏洞，為所有應用類型之冠。

報告也說，教育、製造、零售、批發商等産業的漏洞修復空窗期，在近期也拉長了 4%；醫療産業的空窗期則拉長了 2%。至於金融保險産業的空窗期則略有改善，減少了 2%。

本文轉載自TWCERT/CC。