Risk Based Security 公布的《2018 年 3 季度漏洞快报》指出，年内曝光的漏洞中，有近一半可被远程利用、仅 13% 需要本地访问。截止三季度末，VulnDB 团队统计了 16172 个漏洞；与 2017 年同期相比，数量下降约 7% 。有趣的是，2018 年前三季，仅一月（+4.5%）、二月（+24.6%）、五月（+7.6%）较去年同期有所增长；七月 -1.7%、九月 -40% 。

按漏洞暴露位置分类

在 10 月 29 日发布的统计中：大约一半漏洞可被远程利用，约 30% 依赖于关联情境；13% 需获得目标设备的本地访问权限，仅 5.8% 影响移动设备。

概念验证（PoC）类型的漏洞描述，占报告的 43%，另有超过 12% 被野外攻击利用（而非由发现它们的研究人员所开发）。

 

按漏洞解决方案来分类

值得一提的是，在三季度末报告中，绝大多数漏洞都是由“验证不充分或不正确的输入”引起的。

这清楚地表明，软件开发人员仍需制定强档的软件开发生命周期（SDL）和审计措施，以减少最终产品中包含的安全威胁。

按漏洞攻击类型分类

Risk Based Security 总结道：“2018 年报告的大量漏洞，已经有可用的更新版本或补丁”。

遗憾的是，仍有 24.9% 的漏洞报告，缺乏已知的解决方案。这表明，尽管漏洞修复非常重要，但作为补救措施，还不能完全依赖于它。