文件名称:盘点:估计漏洞的重新发现-研究论文
文件大小:1011KB
文件格式:PDF
更新时间:2024-06-09 01:08:27
software vulnerability vulnerability rediscovery information
多个独立的方多久发现同一漏洞? 漏洞发现的模型很多,但是关于重新发现问题的学术研究却很少。 这项研究和随后辩论的不成熟状态是政策界面临的一个问题,*决定披露给定漏洞的决定部分取决于该漏洞可能被另一方重新发现和恶意使用的可能性。 对恶意软件市场的行为和漏洞赏金计划的有效性的研究同样将从多个独立方发现漏洞的频率的准确基线估计中受益。 本文介绍了一个包含2,600多个漏洞的新数据集,并估计了不同供应商和软件类型之间的漏洞重新发现。 结论是,重新发现的发生率比以前报告的1%到9%范围大。 我们的数据集的总重新发现率为12.7%,介于2009年至2017年之间的Chrome为10.8%,到2016年至2017年之间的Android为21.9%。对于Android和Chrome,超过60%的所有重新发现发生在第一个月原始漏洞披露后。 这些结果与2017年7月发布的原始文件的结果基本一致,并表明信息安全社区应绘制重新发现对漏洞赏金计划的效力的影响,决策者应更严格地评估成本和不披露软件漏洞的要求。