"Navigating Software Vulnerabilities: Eighteen Years of Evidence from Medium and Large U.S. Organizations." 2024. NBER Working Paper.
作者:Raviv Murciano-Goroff, Ran Zhuo & Shane Greenstein
内容推送:严重的软件漏洞有多普遍,软件用户对安全版本的响应速度有多快,是什么决定了安装分布的差异?本研究利用有史以来最大的用户更新数据集,追踪了 2000 年至 2018 年间超过 15 万家美国大中型组织的服务器软件更新情况,发现存在已知漏洞的服务器软件的使用非常普遍,57% 的组织使用存在严重安全漏洞的软件,即使在安全版本可用的情况下也是如此。该研究估算了几个不同的简化形式模型,以研究哪些组织特征与较高的漏洞流行率相关,以及哪些更新特征可以因果地解释对安全版本发布的较高响应度。在软件更新中披露严重的漏洞修复并不能促使所有组织安装这些软件。与更新成本相关的因素,如软件是否托管在云平台上、更新是增量变更还是大修等,都起着重要作用。观测变量并不能轻易解释很大的差异。这些研究结果表明,将组织对软件更新发布的相对(不)关注度纳入网络安全政策的设计中,可能会带来高回报。关于本文的更多内容,请点击左下角“阅读原文”。
