Færre sårbarheder i 2007

Artiklen blev oprindeligt publiceret den 6/2/2008

Efter et par år med kraftig vækst faldt mængden af nyopdagede sårbarheder i 2007.

Det fremgår af tal fra det amerikanske CERT/CC. Organisationen registrerede 7.236 nye sårbarheder i it-systemer i 2007. Året før var tallet 8.064. Det er et fald på godt ti procent.

Tendensen bekræftes af IBM Internet Security Systems, hvis X-Force-division så et fald på godt fem procent. Tallene er forskellige, fordi organisationerne opgør mængden af sårbarheder på forskellig vis.

Sikkerhedsanalytiker Rich Mogull mener, at faldet ikke skyldes, at der er færre sårbarheder i it-systemer. Men flere sikkerhedsfirmaer tilbyder nu at betale penge for nye sårbarheder. Derefter kan de sælge information om dem til producenterne af den sårbare software. Den sikkerhedsforsker, der har fundet sårbarheden, får penge ud af det, men til gengæld offentliggøres sårbarheden kun, hvis producenten vælger at gøre det.

En anden mulig årsag, som han peger på, er, at nogle producenter truer med sagsanlæg, hvis man offentliggør information om sårbarheder. Det kan også afholde sikkerhedsforskere fra at oplyse om, hvad de finder ud af.

Links

• Statistik fra CERT/CC
• Statistik fra IBM Internet Security Systems
• Blog-indlæg fra Rich Mogull