RSAC：嘿，人们，为您的程序打补丁！

Secunia的免费个人软件检查器工具可以检查PC上的所有软件，识别需要更新的程序，并帮助您应用这些更新。 该公司还收集有关漏洞的统计信息，并发布年度报告。 在RSA会议上，Secunia的首席执行官Peter Colsted和CTO Morten Stengaard与我一起讨论了最新报告。

Stengaard说：“总体而言，大多数漏洞仍在第三方程序中。” “总数正在增加，2013年有超过13, 000个新产品，而往年的平均数量为9, 000个左右。大幅增长主要是由IBM驱动的。这仍然是一个巨大的问题，有2, 000多个易受攻击的产品。”

Stengaard指出，在前50个最常见的漏洞中，最常见的漏洞是非Microsoft程序，即使受影响的Microsoft程序数量很大。 Stengaard说：“微软产品的覆盖范围很广，而且人们确实会不断更新。” （最近的一项研究确实表明，修补Windows补丁是任何安全策略的重要组成部分）。

该报告清楚地表明，与非品牌产品相比，最受欢迎的浏览器和PDF阅读器中的漏洞要多得多。 “只要修补，您就可以使用所需的任何产品，” Colsted说。 “如果您 不 打算打补丁，最好使用一个不太常见的程序。”

态度改变

Stengaard说：“我们正在企业中看到一种新战略。” “没有必要在部署补丁之前先对其进行严格的测试，他们会在补丁出现时就对其进行发布，并且可以选择在补丁引起问题时进行回滚。”

旧的测试优先策略是基于补丁可能有害的想法。 我问自上次“错误补丁”以来已经过了多长时间。 Stengaard回答说：“实际上，Microsoft补丁破坏了一切已经有好几年了。许多第三方应用程序也是如此。我们的客户感到更加安全。”

行动追踪

Secunia去年发布了Android版本的PSI，但是数据还不够完善，无法获得Android专用的报告。 Stengaard说：“恶意软件在Android上是如此容易，没有动机去寻求漏洞。现有的针对目标可疑对象的数量很少-总是安装了诸如浏览器和PDF阅读器之类的东西。我们预计去年这一数字将会增加，但是还没来。”

该公司也在考虑使用iOS版本。 “我们的许多客户都在要求iOS支持，” Stengaard说。 “它在那里，在公司里，所以他们想跟踪它。”

人们不打补丁

“总结一下今年的结果，”科尔斯泰德说，“安全漏洞的存在是一个越来越严重的问题。它并没有消失。人们只是不打补丁，这是一个持续的问题。AdobeReader，Java，Flash，浏览器，他们仍然有问题。”

他说：“人们确实需要打补丁。” “要么自动设置它，要么手动设置它。就像杀毒软件刚问世一样；人们花了一段时间才意识到这是必要。现在真正的问题是安全漏洞。修补这些漏洞与保持防病毒保护的工作完全平行。”

Colsted总结说：“如果您真的不打算打补丁，那么您应该选择一个鲜为人知的程序，而不是流行的大牌。” Opera和Foxit Reader的人们一定会很高兴听到这个消息的。 您可以在Secunia的网站上查看完整的报告。