ISS：实际安全漏洞数量远高于公开的安全漏洞

IBM旗下Internet Security Systems（ISS）警告称，被公开披露的安全漏洞和被发现但没有被公开披露的漏洞之间在数量上“有很大差距”。

　　ISS安全战略主管奥尔曼在其博客中写道，尽管ISS研究人员去年分析了7000多个被公开披露的漏洞，但每年在软件中发现的安全漏洞数量可能高达139362个。

　　据奥尔曼称，一些机构可能从安全研究人员手中购买零日缺陷，然后根据保密协议发布给它们的客户。其它机构和黑客也可能在偷偷利用零日缺陷开发恶意软件。

　　他表示，如果包括因各种原因没有被公开披露的漏洞，安全漏洞的数量将增长到一个“巨大的”数字。

　　但是，有分析人士认为奥尔曼对缺陷数量的估计是保守的，因为许多内部软件并没有经过测试。在我看来，漏洞数量要远高于这一数字。