2022 年上半年，网络安全漏洞形势依旧严峻，高危漏洞数量不断增长，漏洞利用渐趋隐蔽，融合叠加风险攀升，在野漏洞利用成为重大网络安全热点事件的风险点以及国家级APT活动的新手段。美欧国家从漏洞发现收集、修复消控、协同披露、出口管制等层面加大管控力度。

中国信息安全测评中心联合中国信息产业商会信息安全产业分会、奇安信威胁情报中心、360漏洞研究院、北京知道创宇信息技术股份有限公司发布了**《2022 上半年网络安全漏洞态势观察》报告**，报告围绕漏洞数量变化趋势、漏洞危害、漏洞利用、漏洞管控等内容，把握总体形势，分析关键漏洞现实威胁，并在漏洞管控与综合治理、感知与预警、供应链安全与开源治理等方面提出对策建议。报告的主要观点总结如下：

① **在漏洞数量方面，漏洞增长创新高，网络安全威胁持续加剧**。漏洞总量环比增长达到 12%；危害程度较大漏洞仍然是热点，超高危漏洞占比超过50%；微软、谷歌等美企大厂产品漏洞多发，持续成为安全研究焦点；开源软件漏洞频发，软件供应链安全风险凸显。

② **在漏洞利用方面，漏洞在野利用形势严峻，漏洞实战化趋势明显**。漏洞 POC/Exploit 公开广泛传播，为漏洞实战化提供便利；在野漏洞利用不断增多，APT 组织漏洞利用异常活跃；在野利用漏洞私有化、漏洞工具囤积严重。

③ **在漏洞现实威胁方面，高价值漏洞“寄生”于多类目标，现实危害严重，影响持久**。边界设备、操作系统、服务 器软件、开源组件、协同办公软件、云原生、移动终端等目标对象漏洞在攻击活动中频繁现身；攻击者通过漏洞攻破网络“大门”、横向移动传播、获取控制权、破坏或窃取数据形成完整网络攻击组合拳；漏洞修复不完善引发“次生灾害”， 历史漏洞重复利用或修复后再被突破，对漏洞治理提出更高 要求。

④  **在管控政策方面，漏洞披露与保留博弈深化**。美欧根据形势不断制定或修订政策法规，加强漏洞资源管控；漏洞披露、共享在国家、企业间的“圈子化”趋势明显，漏洞战略地位凸显。

⑤ **在对策建议方面，多措并举加强漏洞安全防范与保障 成为当务之急**。一是进一步强化国家级网络安全漏洞综合治理能力，加强漏洞管控统筹协调，提升漏洞资源共享共治水平。二是建设国家级漏洞感知与预警机制，提升漏洞发现与处置能力。三是积极推进 ICT 供应链安全治理，完善符合我国情的开源生态。

有关内容来自：[2022上半年网络安全漏洞态势观察_中国信息服务网 (ciita.org.cn)](