趨勢科技作為全球規模最大的中立Bug賞金項目支持方，對其2017年ZDI(零日計劃)收錄的漏洞情況進行了總結，該Bug賞金項目在2017年發布了高達1009項漏洞公告，遠高于2016年的700項。相比2016年，2017年的漏洞凈增數據量就已經超過了2013年全年的零日漏洞發現量。

2017年漏洞數量有所增加

2017年，趨勢科技零日倡議(簡稱ZDI)全年發布了1009份通告，較2016年增長309份。其中119份(占比近12%)作為零日資訊進行發布——同比增長8%。另外有890項不同問題最終通過與相關供應商的成功協調而共同發布了補丁或者其它緩解措施。這些漏洞報告成為了供應商構建安全補丁的重要依據，趨勢科技DVLabs還發布了超過750項預披露過濾條件，用于在保護Trend Micro客戶的同時幫助各廠商順利解決與之相關的問題。

2017年漏洞貢獻企業排行榜

來自世界各地的參與者向零日倡議項目發送漏洞報告，這些報告的質量與數量均相當可觀。

2016年， Adobe漏洞公告(相較于其它任何單一廠商)在零日倡議項目當中獲得最高貢獻數量榮譽。2017年這一桂冠被趨勢科技的母公司Trend Micro奪得，21%Bug賞金項目中披露的漏洞都是由該公司提供。第二名則是Adobe，其貢獻了全部發布漏洞中的18%。緊接著是Foxit，提供的漏洞數量占比10%，而微軟與HPE則各自貢獻了9%的漏洞公告。

以下為零日倡議項目在2017年所發布漏洞公告的廠商貢獻情況：

2017年Adobe公司提交的公告數量相對2016年有所增加，但在Adobe Flash中存在漏洞報告數量較2016年有所減少。在Adobe公司宣布Flash即將退出歷史舞臺之后，研究人員開始將注意力轉向其它方面——即PDF文檔。

2017年，由Adobe Reader、Foxit Reader、微軟Windows PDF Library以及其它PDF的相關漏洞公告總計數量——接近2017年總體公告中的30%，并且到目前為止，與PDF相關的漏洞提交數據量仍在持續增加，2018年這種趨勢或將繼續。

這類漏洞報告可能不被接收

當然，趨勢科技并沒有將bug賞金項目中收到的每一份報告都整理為漏洞公告。事實上，只有36.5%的提交意見以漏洞公告的形式發表。

另外，計算各廠商的報告接納率也各不相同。例如Adobe、Foxit、微軟以及HPE所提交的報告數量都比2017年的“漏洞提交之王”Trend Micro多。部分廠商提供的意見或許更受安全研究人員的歡迎。

趨勢科技表示對某些產品、漏洞類型的提交內容不感興趣，例如跨站腳本(簡稱XSS)、DLL植入、拒絕服務(簡稱DOS)、基于Web或在線工具、ActiveX、后驗證、大眾消費級產品(不包括某些得到廣泛使用的安全產品及部分物聯網方案)以及任何已經公開發布或者可通過其它方式了解到的內容。趨勢科技更傾向于接收高研究價值的相關報告。

漏洞趨勢分析

據趨勢科技分析，目前的漏洞發布形勢已經由Flash轉向PDF閱讀器，2018年或將出現其它一些明顯的轉變。

虛擬機

在今年的Pwn2Own大會上，兩個不同團隊分別展示了如何在VMware環境中完成由訪客到主機的切換。自那時起，趨勢科技收到了更多與VMware相關的提交內容，外加不少涉及微軟Hpyer-V、Joyent SmartOS以及Oracle VM VirtualBox的報告。盡管網絡瀏覽器被普遍認為是通向云端的門戶，但虛擬機實際上正是云環境的支柱。安全研究人員們將繼續瞄準這些平臺，因為虛擬機正越來越多地滲透到我們日常計算體系中的各個角落。

基帶

趨勢科技在最近的Mobile Pwn2Own大會上看到參賽選手們發布了兩種不同的基帶利用方法。隨著移動計算的普及，流氓基帶信號塔可能造成嚴重破壞，例如，一項簡單的基于堆棧緩沖區溢出漏洞即可獲取目標手機上實現代碼執行的全部必需資源，因此與基帶攻擊相關的動向值得關注。

JavaScript/JIT

2017年五大有趣bug排名中的兩項由趨勢科技發現的JavaScript Bug。JavaScript也成為零日倡議項目研究人員接觸頻率最高的熱門議題，JIT Bug同樣如此。盡管人們對由編譯器引入的Bug早已不再陌生，但對于使用頻率最高的編程語言，JavaScript的廣泛存在意味著此類編譯器所引入的安全漏洞很可能以遠程方式觸發，JavaScript引擎當中存在的各類高危Bug將會繼續得到關注。

展望未來

趨勢科技目前已經在“敬請期待”頁面中列出了超過300項漏洞公告，這一發布速度仍在加快。2017年Pwn2Own賞金突破83.3萬美元(約合人民幣541萬元)之后，也許2018年的比賽能夠沖擊100萬美元獎金大關。