趨勢科技在其官網發布訊息，慶祝 Trend Zero Day Initiative™ (ZDI) 成立 20 週年。英文原文標題：Trend Micro Disclosed 73% of Vulnerabilities in the Market  - Omdia Research: Quantifying the Public Vulnerability Market: 2025 Edition。本報告將該研究專文整理如下：

一、報告前言

在數位化浪潮席捲全球的今日，資訊系統與網路應用已成為企業運作與社會生活的基石。然而，伴隨而來的資安威脅也日益嚴峻，其中「漏洞」（Vulnerabilities）無疑是網路攻擊者最常利用的弱點。這些存在於硬體、軟體與韌體中的缺陷，一旦被惡意利用，便可能導致資料洩露、系統癱瘓、服務中斷等災難性後果，嚴重威脅資料的機密性、完整性與可用性 。
為了更全面地理解和應對不斷演進的資安威脅，Omdia發布了《量化公開漏洞市場：2025年版》報告。這份報告深入分析了2024年度資訊安全漏洞的揭露情況、其影響嚴重性以及受影響的產品類別，旨在提供業界對公開漏洞市場的量化洞察。作為一家領先的市場研究機構，Omdia的報告不僅揭示了當前資安漏洞的關鍵趨勢，更強調了漏洞管理與即時揭露在強化整體資安韌性方面的重要性。
本報告由台灣應用軟件整理發布，將深入探討Omdia此份研究的核心發現、其嚴謹的研究方法論，以及這些發現對企業與資安專業人員在制定防禦策略上的重要啟示。我們的目標是透過對原始報告的詳細解讀與擴展分析，幫助讀者掌握當前資安漏洞市場的脈動，從而能更有效地應對未來挑戰。

二、研究方法與範圍

Omdia的《量化公開漏洞市場：2025年版》報告建立在嚴謹而全面的比較研究與分析基礎之上，旨在客觀地評估公開漏洞市場的現況與趨勢 。

2.1 Omdia研究總體方法論
Omdia本次研究針對2024年度揭露資訊安全漏洞的九個主要組織的產出進行了全面性的比較研究與分析 。這些組織不僅是資安領域的領軍者，也積極參與漏洞的發現與揭露過程。為了確保數據的客觀性與準確性，Omdia將這些廠商提供的數據與多個政府機構整理並發布的資訊進行了交叉比對，透過與這些獨立第三方權威機構的數據交叉驗證，Omdia確保了其研究結果的公信力與可靠性。第三方權威機構包括：

1. MITRE Corporation：負責管理通用漏洞與暴露（CVE）的組織，是全球資安漏洞識別的權威機構 。
2. 美國國家標準與技術研究院（NIST）：負責維護國家漏洞資料庫（NVD），提供CVE、CWE和CVSS等詳細漏洞資訊 。
3. 美國電腦緊急應變小組協調中心（US CERT/CC）：一個美國政府機構，在本次研究中被列為報告組織之一，但需注意的是，它並非商業安全廠商 。

2.2 研究範圍界定與限制
為了使研究結果更具聚焦性與可比較性，Omdia在數據分析中設定了嚴格的範圍限制：

1. 漏洞歸因：漏洞僅歸因於那些實際負責發現並管理漏洞揭露過程的廠商 。這意味著，如果一個組織僅在其公告網站上列出某個漏洞，但並非其發現和揭露的管理責任方，則不會獲得該漏洞的歸屬權 。此一嚴謹的歸因標準確保了數據的真實性與避免重複計算。
2. 時間範圍：所有納入分析的漏洞必須是在2024日曆年內被揭露的 。這確保了報告內容的時效性與聚焦於最新的漏洞趨勢。
3. CVE號碼要求：所有納入分析的漏洞必須已經被分配了通用漏洞與暴露（Common Vulnerability and Exposure, CVE）編號 。這個標準是驗證漏洞的基礎，可有效防止分析中引入被拒絕或重複的條目 。未分配CVE的漏洞（即使已歸因於特定廠商）和已保留CVE號碼的漏洞，均未納入Omdia的最終分析 。

值得一提的是，在某些情況下，如果一個漏洞被兩個或更多廠商聲稱發現，Omdia會將該漏洞同時歸因於所有聲稱的廠商，因為無法獨立驗證其歸屬權 。在2024年，有1,455個漏洞僅被聲稱一次，而有超過108個經驗證的漏洞被多次聲稱 。最終，這產生了1,455個獨特且經驗證的漏洞，這些漏洞被納入八個研究組織在2024年的總體統計中 。這八個主要研究組織包括：

1. Check Point - CPR-Zero
2. Cisco - Cisco Talos
3. Fortinet - FortiGuard Labs
4. Google - Project Zero
5. McAfee - (Trellix)
6. Microsoft Security Research Center
7. Palo Alto Networks - Unit 42
8. Trend Micro - Zero Day Initiative™ (ZDI)
9. US CERT/CC
10. "In the Wild" (意指在野外被發現，而非特定研究組織)

2.3 資料來源與歸因準則
本報告的數據主要來自多個來源，包括：

1. Omdia的內部主要研究
2. 對個別廠商的訪談
3. 開源出版物
4. 公開揭露的報告

Omdia從上述列出的每個組織中收集了所有公開可用的漏洞數據，並根據上述歸因原則賦予每個漏洞相應的發現管理歸屬權 。特別強調的是，僅在廠商實際負責有效發現並管理漏洞揭露（即直接監督漏洞發布）的情況下，才將該漏洞歸因於該組織 。僅在公開諮詢網站上列出漏洞並不足以獲得歸屬權 。

2.4 漏洞驗證標準 (CVE, CVSS)
為了進行精確的比較分析，Omdia使用NIST NVD（國家漏洞資料庫）的數據源作為廠商比較的基準 。為確保數據的有效性，所有漏洞必須滿足以下“驗證”條件：

1. 具備相關的CVE編號：這是防止分析中引入重複或被拒絕條目的關鍵 。
2. 由NVD分配了CVSS值：通用漏洞評分系統（CVSS）提供了漏洞嚴重性的數值評分，這對於量化分析至關重要 。

CVSS和CWE（通用弱點列舉）指標的應用，使得Omdia能夠對所有參與廠商的表現、其揭露漏洞的嚴重性以及每個漏洞所涉及的攻擊方法進行比較分析 。這些標準化指標的運用，確保了研究結果的客觀性與可量化性。

三、漏洞市場分析

資安漏洞是資訊系統中對資料機密性、完整性和可用性構成威脅的弱點、錯誤、缺陷或程式錯誤 。攻擊者不斷尋求利用存在於硬體、軟體和韌體中的這些漏洞，因為它們可以被利用來危及這些系統 。

3.1 漏洞的定義與類型
如前所述，漏洞是資訊系統中的固有缺陷，這些缺陷可能被惡意行為者利用。它們涵蓋了廣泛的層面，從程式碼中的微小邏輯錯誤到系統配置上的嚴重疏忽。這些缺陷一旦被成功利用，可能導致未經授權的資料存取、修改或洩露，甚至導致服務阻斷（DoS），對組織造成嚴重損害 。

3.2 零時差漏洞的威脅
在所有漏洞類型中，「零時差漏洞」（Zero-day vulnerabilities）被認為是對資訊安全構成最大威脅的類別 。零時差漏洞是指那些存在但受影響的供應商尚未知曉的漏洞 。這意味著，在這些漏洞被發現並向廠商揭露之前，沒有可用的修補程式或防禦措施。因此，零時差漏洞對於網路犯罪分子來說是極為珍貴的目標，它們可以在尚未被修補的系統中被利用，從而獲得巨大的優勢 。零時差漏洞的窗口期越長——從發現到揭露再到最終修復的時間——潛在攻擊者利用該漏洞的時間就越多 。
即使漏洞已透過安全補丁得到緩解，對於尚未更新的每個系統來說，威脅依然存在 。這凸顯了即時修補和更新的重要性，以最大限度地減少攻擊面。

3.3 漏洞揭露、修補與利用的時差
漏洞的生命週期包含發現、揭露和修復三個關鍵階段。縮短從發現到最終修復之間的時間窗口，對於降低潛在威脅至關重要 。當更多的產品供應商、安全組織和個人研究人員參與到這個過程中時，這些漏洞所帶來的相關威脅就能夠更有效地得到緩解 。
正是因為漏洞只有在被受影響廠商發現並共享後才能得到處理，因此研究人員和其他對網路安全有既得利益的人士有動力盡快報告漏洞 。這種協同合作，從獨立研究人員到大型資安廠商，都是持續提升全球網路安全防禦能力的關鍵。

3.4 漏洞特性與評估指標 (CVE, CWE, CVSS)
為了對任何漏洞進行全面分析並跨報告組織進行交叉引用，需要識別幾個關鍵特性和數值 ：

1. 通用漏洞與暴露 (Common Vulnerability and Exposure, CVE) 值：
   • 由CVE編號授權機構（CNA）分配給每個漏洞的唯一識別符 。它為漏洞提供了一個標準化的名稱，方便全球範圍內的資安社群共享和追蹤。
2. 通用弱點列舉 (Common Weakness Enumeration, CWE) 值：
   • 用於分類和定義常見軟體弱點的初步識別符 。CWE提供了一個缺陷類型的詞彙表，有助於理解漏洞的根本原因和防禦方法。

• 通用漏洞評分系統 (Common Vulnerability Scoring System, CVSS) 值：
  • 反映漏洞嚴重程度的數值分數 。CVSS提供了一個開放且通用的方法來評估漏洞的嚴重性，幫助組織根據風險程度優先處理威脅修復。CVSS分數越高，表示漏洞的潛在影響越大或利用難度越低。

這些標準化指標，特別是NVD所分配的CVSS分數，為組織提供了可見的衡量標準，以便評估任何漏洞的嚴重性並協助優先處理威脅修復策略 。

四、2024年度研究結果深度解析

2024年是資安領域充滿挑戰的一年，Omdia的報告提供了關於漏洞揭露、嚴重性分佈和產品影響的詳細數據。

4.1 總體漏洞披露概況
在2024年，Omdia共識別出1,455個獨特且經驗證的漏洞 。這些漏洞是從8個主要研究組織（加上US CERT/CC和“In the Wild”的貢獻）的數據中綜合得出的 。雖然有些漏洞被多個廠商聲稱發現（超過108個），但Omdia的歸因方法確保了對每個獨特漏洞的精確計數 。

4.2 漏洞嚴重性分佈
CVSS評分系統將漏洞分為四個嚴重級別，每個級別都反映了其潛在的威脅程度：

1. 危急（Critical）漏洞：
   • 這些漏洞可能對組織的資訊安全造成災難性影響 。它們通常涉及未經授權的root級別存取，並可能導致未經授權的資料修改/洩露，或服務阻斷（DoS） 。如果攻擊者可以在沒有任何特殊條件或進階知識的情況下獲得存取權限，威脅通常會提升到此級別 。
   • 在2024年，危急漏洞約占所有已揭露威脅的10% 。具體數據顯示，有178個危急漏洞被識別 。
2. 高危（High）漏洞：
   • 高危漏洞同樣可能對組織的資訊安全造成破壞性影響 。然而，高危漏洞通常更難以利用，因為它們需要滿足某些特定條件才能被利用 。儘管如此，任何利用行為仍可能導致權限提升或資料存取權的喪失 。
   • 在2024年，高危漏洞占所有揭露漏洞的大多數，達71% 。具體數據為1216個高危漏洞，這表明大多數漏洞在利用成功後仍可能產生重大影響，但其利用門檻相對較高 。
3. 中等（Medium）漏洞：
   • 中等漏洞可能對組織的資料安全產生負面影響，但它們通常更具挑戰性，因為需要滿足特定要求才能有效利用 。
   • 在所有漏洞中，中等漏洞排名第二，占17% 。具體數據為289個中等漏洞 。
4. 低危（Low）或不適用（N/A）漏洞：
   • 這些漏洞對組織的資料安全影響很小或沒有影響，更多的是一種困擾而非真正的威脅 。
   • 低級別威脅占所有揭露漏洞的2% 。具體數據為37個低危漏洞 。

4.3 最常被攻擊的產品 (2024)
Omdia的報告也識別出2024年最常被偵測到漏洞的產品清單，這為企業提供了寶貴的資訊，以評估其軟體資產的風險敞口：

1. Windows：147個漏洞
2. Delta Electronics CNCSoft-G2：78個漏洞
3. Wavlink AC3000：62個漏洞
4. Foxit PDF Reader：52個漏洞
5. IrfanView：43個漏洞
6. Ivanti Avalanche：35個漏洞
7. Autodesk AutoCAD：31個漏洞
8. WhatsUp：19個漏洞
9. Acrobat Reader：16個漏洞
10. Autodesk applications：16個漏洞

Windows作為最廣泛使用的作業系統，其漏洞數量位居榜首並不令人意外。然而，值得注意的是，許多特定應用程式和設備（如工業控制系統相關的Delta Electronics CNCSoft-G2和網路設備Wavlink AC3000）也榜上有名，這表明攻擊者正將目標擴大到更多專業和基礎設施相關的軟硬體。企業應特別關注這些高風險產品，並確保其得到及時的更新和強化。

4.4 主要貢獻者分析 (2024)
不同的資安研究組織在發現和揭露各類嚴重性漏洞方面扮演著關鍵角色。Omdia報告詳述了2024年各貢獻者在不同嚴重級別漏洞上的表現：

1. 危急（Critical）漏洞貢獻者 (2024)：
   • Cisco Talos：87個
   • Trend Micro：68個
   • Microsoft：8個
   • Palo Alto Networks：7個
   • Check Point Research：3個
   • In the Wild：3個
   • Google Project Zero：2個
   • 這些數據顯示，Cisco Talos在危急漏洞的發現和揭露方面處於領先地位，這對保護關鍵基礎設施和企業網路至關重要。
2. 高危（High）漏洞貢獻者 (2024)：
   • Trend Micro：1002個
   • Cisco Talos：91個
   • Microsoft：80個
   • Google Project Zero：25個
   • Palo Alto Networks：12個
   • Check Point Research：4個
   • In the Wild：1個
   • US CERT/CC：1個
   • Trend Micro在高危漏洞的揭露方面遙遙領先，顯示其在廣泛安全研究方面的卓越能力。
3. 中等（Medium）漏洞貢獻者 (2024)：
   • Trend Micro：182個
   • Microsoft：47個
   • Cisco Talos：34個
   • Palo Alto Networks：17個
   • Google Project Zero：7個
   • In the Wild：1個
   • Check Point Research：1個
   • 同樣，Trend Micro在中等嚴重性漏洞的貢獻方面也表現突出。
4. 低危（Low）漏洞貢獻者 (2024)：
   • Trend Micro：36個
   • Microsoft：1個
   • 低危漏洞的數量相對較少，但Trend Micro在這一類別中仍佔據主導地位。

從這些數據可以看出，Trend Micro在2024年度整體漏洞的發現和揭露方面表現出了壓倒性的優勢，尤其是在高危和中等嚴重性漏洞方面。Cisco Talos則在危急漏洞的發現上表現卓越。這兩家公司在推動公共漏洞資訊方面發揮著至關重要的作用。

4.5 漏洞市場覆蓋率 (2024)
Omdia的報告以圖表形式展示了各研究組織在2024年公開漏洞市場的覆蓋率，這反映了它們在整個漏洞揭露生態系統中的影響力。

• Trend Micro：73.54%
• Cisco Talos：13.75%
• Microsoft：9.07%
• Palo Alto Networks：1.79%
• Google Project Zero：1.51%
• Check Point Research：0.34%
• In the Wild：0.07% (數據來自表格推斷，圖表未明確標示，但總和為100%)
• US CERT/CC：0.07% (數據來自表格推斷，圖表未明確標示，但總和為100%)

這些數據明確指出，Trend Micro（及其零時差計畫ZDI）在2024年度的公開漏洞市場中佔據絕對主導地位，其漏洞揭露數量遠超其他任何研究組織，市場覆蓋率超過七成 。Cisco Talos和Microsoft緊隨其後，共同構成了公開漏洞市場的主要貢獻力量。這種集中度可能意味著這些領先的組織承擔了更大的責任，以確保漏洞信息的及時和負責任地分享，從而惠及整個資安社群。

五、歷史數據比較與趨勢分析 (2019-2023)
Omdia的報告不僅提供了2024年的快照，還包含了從2018年到2023年的歷史數據（2022年未進行研究，因此無數據），這使得趨勢分析成為可能 。透過這些年度數據，我們可以觀察到公開漏洞市場的演變，以及各主要貢獻者在不同時間段內的表現變化。

5.1 年度漏洞管理數量比較
下表總結了各年度總計發現和管理的漏洞數量：

• 2024年：1,455個
• 2023年：1,211個
• 2021年：1,543個
• 2020年：1,378個
• 2019年：1,095個
• 2018年：1,752個

從趨勢來看，總體漏洞數量在過去幾年呈現波動。2018年是一個高峰，之後在2019年有所下降，但隨後在2020年和2021年又有所回升。2023年略有下降，而2024年則再次上升，顯示漏洞揭露活動的活躍性持續不斷。這種波動性可能反映了多種因素，包括漏洞發現技術的進步、研究人員投入的變化，以及網路攻擊面的擴大。

5.2 平均基礎分數（Base Score）趨勢
CVSS基礎分數反映了漏洞的固有嚴重性，與時間無關。

• 2024年：7.55
• 2023年：7.55
• 2021年：7.49
• 2020年：7.62
• 2019年：7.76
• 2018年：7.45

總體而言，漏洞的平均基礎分數在過去幾年保持相對穩定，大約在7.45到7.76之間。這表明，儘管每年發現的漏洞數量有所波動，但這些漏洞的平均固有嚴重程度並未發生劇烈變化。大多數已揭露的漏洞仍屬於高危範疇，需要高度關注。

5.3 平均可利用性分數（Exploitability Score）趨勢
CVSS可利用性分數衡量了利用漏洞所需的技術難度和複雜性。分數越高，表示越容易被利用。

• 2024年：2.21
• 2023年：2.21
• 2021年：2.25
• 2020年：2.42
• 2019年：2.66
• 2018年：2.40

從趨勢來看，漏洞的平均可利用性分數呈現出輕微的下降趨勢，從2019年的2.66下降到2024年的2.21。這可能暗示著，雖然漏洞的嚴重性維持不變，但被揭露的漏洞在利用上可能變得稍微困難一些，這可能是因為廠商在防禦機制上的改進，或者研究人員在發現更複雜、更難以利用的漏洞方面取得了進展。然而，這種變化相對較小，不足以顯著降低實際的攻擊風險。

5.4 平均影響分數（Impact Score）趨勢
CVSS影響分數評估了成功利用漏洞後對資料機密性、完整性或可用性造成的影響程度。

• 2024年：5.21
• 2023年：5.25
• 2021年：5.12
• 2020年：5.07
• 2019年：4.99
• 2018年：4.95

平均影響分數在過去幾年呈現小幅上升趨勢，從2018年的4.95上升到2024年的5.21。這可能表明，儘管漏洞的利用難度略有增加，但一旦漏洞被成功利用，其潛在的破壞性或對系統影響的程度正在提高。這對企業來說是一個警訊，意味著即使是那些看似「困難利用」的漏洞，一旦被利用成功，其後果可能比以往任何時候都更加嚴重。

5.5 研究機構在不同年份的市場覆蓋率變化
透過比較多年數據，我們可以觀察到各主要貢獻者在公開漏洞市場中的相對影響力：
Trend Micro (ZDI)：

• 2024年：73.54%
• 2023年：60.20%
• 2021年：63.98%
• 2020年：60.50%
• 2019年：52.33%
• 2018年：52.28%

Trend Micro的Zero Day Initiative (ZDI) 在過去幾年一直保持著公開漏洞揭露的領導地位，並且在2024年顯著擴大了其市場覆蓋率，達到驚人的73.54% 。這表明Trend Micro在持續的漏洞研究和揭露方面投入了大量資源，並在行業中發揮著舉足輕重的作用。

Cisco Talos：

• 2024年：13.75%
• 2023年：23.56%
• 2021年：21.09%
• 2020年：17.83%
• 2019年：15.07%
• 2018年：13.47%

Cisco Talos作為另一個重要的貢獻者，其市場覆蓋率在2023年達到高峰後，於2024年有所下降 。儘管如此，它仍然是漏洞揭露市場中不可或缺的一部分，特別是在危急漏洞的發現方面表現突出。

Microsoft Security Research Center：

• 2024年：9.07%
• 2023年：7.41%
• 2021年：4.98%
• 2020年：6.80%
• 2019年：未知 (表格未提供)
• 2018年：未知 (表格未提供) Microsoft的安全研究中心在2024年的市場覆蓋率顯著提升，達到9.07%，顯示其在發現和揭露漏洞方面的持續投入與進步 。這對於一個軟體巨頭來說至關重要，因為其產品的普及性使其成為攻擊者的主要目標。

Google Project Zero：

• 2024年：1.51%
• 2023年：7.41% (表格中被標註為Google，實際為91個漏洞)
• 2021年：4.98%
• 2020年：6.80%
• 2019年：11.69%
• 2018年：12.39%

Google Project Zero儘管在2024年的市場覆蓋率相對較低，但其關注於零時差漏洞和高影響力漏洞的研究，對整個生態系統的安全性有著深遠的影響。其市場佔有率呈現下降趨勢，但其研究的質量和重點仍然是業界關注的焦點。

Palo Alto Networks - Unit 42：

• 2024年：1.79%
• 2023年：0.08%
• 2021年：0.85%
• 2020年：2.14%
• 2019年：7.67%
• 2018年：5.31%

Palo Alto Networks的Unit 42在2024年的貢獻度有所回升，顯示其在漏洞研究方面的持續參與 。其他貢獻者如Fortinet、McAfee (Trellix)、Check Point Research以及US CERT/CC等，也都在不同的年份為公開漏洞市場做出了貢獻，共同構建了全球漏洞研究的生態系統 。

5.6 2022年數據缺失的說明
值得注意的是，Omdia的歷史數據顯示，2022年沒有進行相關研究，因此該年度的數據被排除在外 。這意味著在進行跨年度趨勢分析時，需要考慮到這一數據空白，並避免因數據不連續而得出錯誤結論。總體來看，公開漏洞市場在過去幾年呈現出動態變化的趨勢。雖然每年揭露的漏洞數量和平均嚴重性保持相對穩定，但各研究機構之間的貢獻分佈則在不斷調整。Trend Micro的ZDI持續鞏固其在漏洞揭露領域的領導地位，而其他主要廠商則在不同的時間段內展現出其在特定領域的專業能力。
 

六、漏洞管理與資安策略的啟示

Omdia的報告不僅提供了數據洞察，更為組織在當前複雜的資安環境中如何有效管理漏洞提供了重要啟示。

6.1 漏洞揭露與修補的即時性
報告明確指出，漏洞從被發現、揭露到最終修補之間的時差越大，潛在的攻擊者就有更多的時間來利用這些漏洞 。這強調了「時間就是金錢」在資安領域的真實寫照。對於企業而言，建立一套高效的漏洞管理流程至關重要，這包括：

1. 即時監控：持續監控來自資安研究機構、政府機構和開源社群的最新漏洞公告 。
2. 快速響應：一旦發現與自身資產相關的漏洞，應立即啟動應急響應計畫，評估風險，並優先級別修補。
3. 自動化工具：利用自動化漏洞掃描工具和修補管理系統，縮短從發現到修補的週期。

6.2 零時差漏洞的挑戰與防禦
零時差漏洞由於其「未知」的特性，對資訊安全構成最大的威脅 。這類漏洞在被廠商知曉之前，缺乏有效的防禦措施。因此，組織應建立多層次的防禦機制，以減輕零時差漏洞的影響：

1. 行為偵測：部署基於行為分析的入侵偵測/防禦系統（IDS/IPS）和端點偵測與響應（EDR）解決方案，它們可以在已知漏洞補丁發布之前，透過偵測異常行為來識別零時差攻擊。
2. 最小權限原則：嚴格實施最小權限原則，限制使用者和應用程式的權限，即使系統被入侵，也能最小化潛在的損害。
3. 網路分段：對網路進行邏輯分段，限制攻擊者在被入侵系統中的橫向移動能力。
4. 威脅情報共享：積極參與威脅情報共享社群，接收來自各方（包括Omdia報告中提及的資安研究機構）的最新威脅情報，以便能更快地應對新的攻擊手段 。

6.3 協同合作的重要性（廠商、研究機構、政府單位）
Omdia的報告強調，資訊安全漏洞的發現和揭露是一個行業範圍內的共同努力 。透過像Trend Micro、Cisco Talos、Google Project Zero等廠商的勤奮工作，以及NIST、MITRE等政府機構的協調，資料安全才能變得更加穩固 。

1. 負責任的揭露：鼓勵研究人員和資安廠商遵循負責任的漏洞揭露原則，即在公開之前給予受影響廠商足夠的時間開發和部署補丁。
2. 生態系統協同：企業應積極參與資安生態系統，與資安廠商、研究機構和政府單位建立合作關係，共同應對威脅。

6.4 針對不同嚴重性漏洞的優先處理策略
報告中漏洞嚴重性的分佈（71%高危，10%危急）為組織提供了寶貴的優先級別指引 。

1. 危急漏洞（Critical）：應被視為最高優先級，必須立即修補。這些漏洞通常易於利用，且影響極為嚴重 。
2. 高危漏洞（High）：儘管可能需要特定條件才能利用，但其潛在影響仍然巨大 。應在修補危急漏洞後，儘快處理高危漏洞。
3. 中等（Medium）與低危（Low）漏洞：這些漏洞的修補優先級相對較低，但仍應納入定期的漏洞管理和修補週期中，以降低整體風險敞口 。

組織應實施基於風險的漏洞管理方法，綜合考慮漏洞的CVSS分數（包括基礎、可利用性和影響分數）、受影響資產的業務關鍵性以及外部威脅情報，來確定最合適的修補順序 。

6.5 企業應如何利用此類報告制定資安策略
像Omdia這樣的量化報告，為企業制定或調整其資安策略提供了堅實的數據基礎：

• 風險評估與資產盤點：利用報告中提及的最常被攻擊產品列表，對自身資產進行全面盤點和風險評估，特別關注是否使用了這些高風險產品 。
• 供應鏈安全管理：鑑於軟體供應鏈的複雜性，企業應要求其供應商證明其產品的漏洞管理能力，並定期提供安全更新。
• 研究與開發投入：了解主要資安研究機構的貢獻分佈，有助於企業評估其當前使用的資安產品或服務供應商在漏洞情報方面的能力。
• 資安預算分配：透過對漏洞數量、嚴重性和趨勢的理解，企業可以更合理地分配資安預算，將資源集中於最具風險的領域。
• 政策與流程優化：根據報告的洞察，審視並優化現有的漏洞管理政策、修補流程和應急響應機制，確保其與最新的威脅情勢保持同步。

七、結論

Omdia的《量化公開漏洞市場：2025年版》報告，為全球資訊安全社群提供了對2024年度漏洞動態的全面而深入的洞察。該報告不僅量化了漏洞的揭露數量、嚴重性分佈及受影響產品，更透過對主要貢獻者的分析和歷史數據的比較，勾勒出公開漏洞市場的演變趨勢。
研究結果明確指出，高危漏洞是當前主流，佔總體揭露漏洞的絕大多數，而危急漏洞儘管數量相對較少，但其潛在的破壞性及易利用性使其成為最高優先級的威脅 。Windows系統作為最廣泛使用的平台，依然是漏洞的熱點目標，但報告也提醒我們應關注特定行業應用和網路設備的漏洞風險 。在貢獻方面，趨勢科技（Trend Micro）的Zero Day Initiative (ZDI) 在2024年再次展現了其在公開漏洞揭露方面的領導地位，其在總體漏洞揭露市場中佔據了超過七成的市場份額 。Cisco Talos和Microsoft等其他重要研究組織也持續為資安生態系統做出關鍵貢獻 。

這份報告再次強調了漏洞管理在現代資安策略中的核心地位。漏洞從發現到修補的窗口期越短，組織面臨的風險就越小 。這需要資安廠商、研究機構與政府單位之間的緊密協作，共同致力於漏洞的負責任揭露和及時修復。對於企業而言，這意味著必須建立一套積極主動的漏洞管理流程，持續監控威脅情報，迅速評估風險，並優先修補那些可能造成災難性後果的危急和高危漏洞。同時，應加強對零時差漏洞的防禦，實施多層次的安全控制，並將資安意識融入到組織的每一個層面。
台灣應用軟件認為到透過對這份報告的深入理解與應用，企業和資安專業人員將能更好地掌握資安威脅的本質，更有效地制定防禦策略，從而提升整體資訊安全韌性，在日益複雜的數位世界中保護其寶貴的資產。持續不斷的漏洞發現和負責任的揭露工作，是實現全面安全的基石，這項工作必須持續精進和改善，以確保資訊系統的安全與穩定 。