漏洞與修補程式增長迅速　四年倍增

近年來針對各種漏洞的攻擊接踵而來，修補程式公布與攻擊出現的時間差形成一場速度的競技，漏洞與修補程式資訊更新左右資安事件的發展。包括美國電腦緊急應變小組（US-CERT）、美國國家漏洞資料庫（NVD）、開放原始碼漏洞資料庫(OSVDB)等學術單位，都定期提供各種系統漏洞資料與安全性公告。

所謂漏洞，就是軟體或作業系統的缺失，駭客可以透過這些漏洞發動攻擊，針對單ㄧ安全漏洞，駭客都有能力發展出一種或多種入侵方式。零組件、作業系統、軟體、程式語言或是通訊協定都有可能存在漏洞。

由各單位公布的統計數字來看，從2001年到2005年，漏洞數量都增加一倍以上，其中，大型軟體公司的漏洞更是以倍數成長，因此修補程式的數量也必然跟著增加，多個研究普遍認為，這樣的情況在未來幾年將持續發生，尤其是網路應用程式快速增加，漏洞增加更快且顯而易見，資訊人員不需要專業能力也有能力發現。

不過，就算是重大漏洞大量被發現，卻還是無法有效防止漏洞產生，主因是企業修補的速度仍然比不上漏洞增加的速度，源於企業對威脅評估的知識不足。不過，研究多認為，企業在修補漏洞的速度已經逐年改善當中。文⊙高雅欣

2001～2004年漏洞數量統計

單位： 漏洞／個
製表：高雅欣