Не последнюю роль в уменьшении числа уязвимостей сыграла и Vista, за которую ещё не успели взяться по-настоящему, а новые функции защиты сильно повысили её надёжность, считает Оллманн.
С января по апрель включительно проект пополнился 2245 сообщениями, в то время как с января по апрель 2006 года их добавилось 2143. Команда IBM-ISS X-Force подтверждает утверждения CVE: с января по середину мая прошлого года она собрала 2419 уязвимостей, что на 39,5% больше, чем в 2005, а в этом году за тот же период – 2553.
По словам Гюнтера Оллманна (Gunter Ollmann), директора IBM-ISS по стратегии безопасности, показатели первых месяцев по-прежнему бьют рекорды, но «в этом году они будут относительно умеренными». По его прогнозам в течение года будет раскрыто порядка 8,5 тыс. уязвимостей против 7247 в 2006.
Эксперты считают, что дело не в более надёжном ПО, а в большей закрытости. Всё больше специалистов по безопасности находят работу у крупных вендоров, которые закрывают уязвимости по мере обнаружения, не сообщая о них публично. Ещё один фактор связан с компьютерной преступностью: уязвимости нулевого дня можно продать на чёрном рынке за большие деньги. В «тезаурусе уязвимостей» крупные и опасные ошибки составляют всего 20%.
По мнению старшего инженера по информационной безопасности Mitre Стива Кристи (Steve Christey), есть и другие причины замедления роста. В частности, это улучшение процесса анализа уязвимостей, попадающих в CVE. В предыдущие 2 года также резко выросло число независимых исследователей безопасности, что не могло не повлиять на рост количества найденных ими ошибок. В этом году, считает Кристи, была достигнута критическая масса.
Не последнюю роль в уменьшении числа уязвимостей сыграла и Vista, за которую ещё не успели взяться по-настоящему, а новые функции защиты сильно повысили её надёжность, считает Оллманн.
Изменяется и рынок исследователей. «3-5 лет назад целью многих начинающих исследователей было обнаружение и публикация уязвимостей, и получение благодарности. Затем он обнаружили, что можно зарабатывать деньги, предлагая коммерческие услуги поиска». Некоторые софтверные компании скрывают наличие уязвимостей до выпуска обновления, но и после обновления об ошибке могут и не упомянуть.
По словам Кристи, существует ряд новых видов уязвимостей, которые под силу только квалифицированным экспертам. Это переполнения целочисленных значений и «мягкое» переполнение буфера.
И, наконец, на количество найденных уязвимостей влияют времена года. Летом исследователи отдыхают, а осенью снова берутся за работу, и показатели растут.
Гравитация научных фактов сильнее, чем вы думаете