如今，该报告已发布至第十届，分析了各行业全栈安全趋势，重点指出了常见漏洞、补丁延迟和风险热点。通过洞察利用程序的可用性、攻击面暴露情况和修复时间线，它为企业提供了制定更明智、基于风险决策所需的数据。

报告强调了网络安全中一个持续存在的挑战：并非所有漏洞都是相同的，有些漏洞虽然发生频率不高，但一旦被利用，会造成严重的破坏——Edgescan将其描述为“高危”风险。尽管有EPSS、CISA KEV、CVSS和SSVC等优先级排序模型可供使用，但由于它们之间存在不一致性，因此很难依靠任何一个框架来做出决策。

补丁管理仍然是生产环境中的一大障碍，这从缓慢的平均修复时间(MTTR)指标中就可以看出。许多企业仍然在提高可见性方面面临困难，这是降低风险的关键因素。令人担忧的是，早在2015年就已发现的漏洞，至今仍在被用于活跃的勒索软件和恶意软件攻击中。

内部系统尤其容易受到攻击，攻击者通常会利用技术栈中的薄弱环节进行链式攻击，从而放大攻击效果，这使得攻击面管理(ASM)变得比以往任何时候都更加重要。Edgescan的持续资产分析显示，敏感系统经常暴露于公共互联网上，而且往往是在组织不知情的情况下。

最终，这些数据清晰地表明：有效的风险管理取决于提高可见性、整合多个风险模型，以及在漏洞被利用之前解决遗留漏洞。

2025年报告的关键发现包括：

• 在全栈中，超过33%的已发现漏洞属于严重或高危级别。

• SQL注入(CWE-89)仍是最常见的关键Web应用漏洞，这一趋势自2022年以来一直持续。

• 严重级别的Web应用漏洞的平均修复时间为35天，而面向互联网的主机/云漏洞的平均修复时间为61天。

• 2024年，共发布了创纪录的40,009个CVE(通用漏洞披露)。

• 截至2024年底，CISA KEV目录中包含了1,238个漏洞，其中185个是在该年度内新增的。

• 2024年，有768个CVE被首次公开报道为已在实战中被利用，占所有已发现漏洞的2%，与2023年相比增加了20%。

bet188金宝搏(金宝博)官方网站D1net(www.tbyhdd.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为bet188金宝搏(金宝博)官方网站D1Net编译，转载需在文章开头注明出处为：bet188金宝搏(金宝博)官方网站D1Net，如果不注明出处，bet188金宝搏(金宝博)官方网站D1Net将保留追究其法律责任的权利。