Debian Linux 在过去20年漏洞太多

安全网站TheBestVPN于3月6日发布了一份研究报告，该报告显示Debian Linux成为过去20年中漏洞最多的操作系统。 在过去的20年中，Microsoft积累了6,814个技术漏洞，远高于其他技术公司的漏洞。 从1999年到2019年，安全漏洞的数量几乎增加了五倍，从894个增加到12,174个。据悉，此报告的数据来自美国国家标准技术研究院(NIST)的国家漏洞数据库。

据数据显示，从 1999 年到 2019 年，Debian Linux 的累计漏洞数为 3067，排名第一。Android 排名第二，它累计有 2563 个漏洞。Linux kernel 则排名第三，累计漏洞数为 2357。

而 Mac OS X 则以 2212 个漏洞排名第四。作为 Windows 平台排名最前者，Windows Server 2008 以 1421 个漏洞排名第 9。

众所周知，Linux 有很多发行版，主要分为由商业公司维护的商业版和开源社区维护的免费发行版，分别以 Redhat 和 Debian 为代表。Debian Linux 系统基础核心小，不仅稳定，而且占用内存小。由于其优秀的表现和稳定性，Debian 受到 VPS 用户的欢迎。

针对 Debian Linux 的漏洞，TheBestVPN 表示，“作为一款免费易上手的操作系统，Debian Linux 最近 20 年累计有 3067 个安全漏洞。不过，面对这些漏洞，Debian Linux 社区并非无动于衷。根据其官网披露，社区非常‘负责’，他们一般会在漏洞被曝光的几天内就修复它。“

如果聚焦2019 年，我们发现 Android 以 414 个漏洞排名第一，而 Debian Linux 排名第二，它有 360 个漏洞。

从第三名到第五名，全被微软囊括，依次是 Windows Server 2016(357 个漏洞)、Windows 10(357)和 Windows Server 2019(351)。

“根据我们的分析表明，Debian Linux 可能是问题最多的操作系统。但在 2019 年，Android 的漏洞数量比 Debian Linux 多 54 个。””TheBestVPN 在报告中写道，“Android 漏洞之所以如此多，是因为 Android 手机中有大量预装的第三方应用，它们可能存在一些问题。”

巨头漏洞多，微软“霸榜”

TheBestVPN 称“最近 20 年，商业变得越来越依赖新要素、新技术，比如数据、云计算和移动互联网等，这也导致企业面临更多的网络攻击。”

从厂商角度看，作为全球最成功的科技公司之一，微软产品“树大招风”，从 1999 年到 2019 年，微软累计被曝出 6814 个技术漏洞，排名第一。同时，这也让它成为最容易被攻击者盯上的供应商。

在微软之后，排名第二的是甲骨文，20 年累计有 6115 个漏洞。

第三到第五名依次是 IBM、谷歌、苹果，相对应的漏洞数为 4679、4572、4512。

如果只看 2019 年，微软以 668 个漏洞远超其他公司，牢牢占据排行榜第一。其次是谷歌(609)、甲骨文(489)和 Adobe(441)以及思科(440)。

20 年，漏洞数量增长近 14 倍

根据数据表明，1999 年只有 894 个技术漏洞，20 年后，漏洞数量高达 12174，增长近 14 倍。

据悉，2018 年的漏洞数量最多，高达 16556，平均每天有近 45 个漏洞。这一年，免费的开源操作系统 Debian GNU/Linux 曝出 1197 个漏洞，堪称 2018 年最易遭受攻击的产品。

基于这些数据，我们得知：Android 在 2016 年、2017 年和 2019 年的漏洞数量最多，均为当年“榜首”。与之相比，苹果的 iOS 一次未上榜。这也从侧面印证了 iOS 比 Android 相对更安全。

此外，谷歌 Chrome 浏览器连续三年(2010、2011 和 2012)成为漏洞最多的产品。而在编程语言中，PHP 在 2007 年以 114 个漏洞排名第一。

DoSS 攻击“不可怕”，代码执行需警惕

根据 TheBestVPN 的研究，这些漏洞可被分成 13 种，包括代码执行、DoSS 攻击、缓冲区溢出、跨站脚本攻击等。

在 2019 年的漏洞类别中，有超过四分之一的漏洞属于代码执行，它以 25.3% 的占比排名第一。CSS(跨站脚本攻击)排名第二，占比 17.7%。而 DDoS 攻击只占 10%，排名第四。

值得注意的是，代码执行也是 2018 年漏洞最多的类别，有 3041 个安全漏洞。

2019 年，第三到第五名的漏洞类别分别是缓冲区溢出、DoSS 和 Gain Information，相对应的占比为 13.9%、10.2%、10%。

你应该担心啥?

CVSS 是一套通用漏洞评分系统，评分从 0 到 10，评分越高，标志着漏洞危害和影响越大。通过 CVSS，我们可以简要了解从 1999 年到 2019 年包含漏洞的产品所带来的安全风险。

最近 20 年，在漏洞最严重的 TOP 50 产品中，Adobe Flash Player 得分最高，为 9.4。这意味着，这个应用中被发现的 bug 可能带来很严重的问题，比如数据泄露等。

第二名到第五名依次是 Adobe Acrobat(9.2)、微软 Office(9.1)、Adobe Acrobat Reader(8.9)和 Internet Explorer(8.6)。在 TOP 15 中，苹果的 watchOS 和 iTunes 评分最低，分别为 7.4、7.5，这意味着相对而言，其漏洞危害较小。