Привет, Хабр! Сегодня мы хотим поделиться интересной статистикой о количестве уязвимостей, которые были обнаружены в самом различном ПО на протяжении 2021 года. И хотя он еще не закончился, мы уверенно приближаемся к новому рекорду. Показатели уже выше, чем в прошлом, позапрошлом и других годах. Немного о рейтинге и сама диаграмма со статистикой — под катом.

На самом деле многие компании отслеживают уязвимости, но одной из самых масштабных баз CVE обладает американская NIST — Национальный институт стандартов и технологий. Организация собирает данные обо всех уязвимостях, а также сопоставляет их с информацией о взломах и проникновениях от клиентов. В результате получается неплохая статистическая картина.

По итогам 2021 года специалисты NIST подготовили сводную диаграмму, на которой видно, что уязвимостей становится все больше. Да, количество CVE с оценкой High (часто эксплуатируемые и тяжелые) немного снизилось. Но зато выросло число всех остальных. А с точки зрения безопасности неизвестно, что лучше — часто используемые уязвимости или не очень опасные, редкие “но меткие”.

Также интересно, что серьезный всплеск уязвимостей произошел в 2017 году, и их количество продолжает расти. С чем это связано неизвестно (кстати, а как вы думаете - поделитесь в комментариях), но факт остается фактом, причем малоприятным.

Подробное описание статистики, а также метода оценки уязвимостей можно найти на сайте NIST. Посмотреть на столбики, понаводить на них мышкой и изучить подробно данные можно здесь. А тем временем у нас к вам вопрос: считаете ли вы, что в таких условиях решение с функцией патч-менеджмента — это must have. Или, все-таки, нет?