软件漏洞中有多少是漏洞?
软件漏洞中有多少是漏洞?
提问于 2013-06-22 07:25:39
软件漏洞中有多少是安全漏洞?显然,软件错误可能是安全漏洞--但很明显,许多软件错误对安全影响很小或根本没有影响。是否有任何数据(或经验法则),大概有多少部分软件漏洞也是安全漏洞?还是粗略的取值范围?
回答 2
Security用户
发布于 2013-06-22 12:29:12
很明显,任何估计都将是相当的手摇,因为如果我们知道所有bug的存在并能够列举它们,那么这些bug可能就不会发布了。因此,这些bug计数是基于事后发现的bug。与很少使用的软件相比,经过仔细审查的软件自然会发现更多的错误,因此我们的测量技术是有偏差的。
但是这里有一篇文章引用了代码完整,它说每个KLOC有10-15个bug:
http://amartester.blogspot.com/2007/04/bugs-per-lines-of-code.html
这里有一篇文章,用来估计每个KLOC的最大.05安全漏洞:
所以你的答案的一个粗略估计是.05/15 = .003333。这是相当小的比例。
Security用户
发布于 2013-06-22 07:56:34
那么还有多少安全漏洞未被发现呢?与其他软件漏洞不同的是,在攻击者发现安全漏洞之前,安全漏洞就会被注意到。明天可能会产生一种全新的攻击模式,在这种新的视角下,我们发现我们使用的所有软件都非常不安全。
..。这种情况已经发生了。Aleph和缓冲区溢出,发现一些格式字符串错误可以被利用,悬空指针,H.D .摩尔和DLL劫持,啊哈,不要忘记在这里填上你最喜欢的攻击。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/37861
复制相关文章
相似问题
腾讯云开发者
