根据Ox Security发布的《2025年应用安全基准报告》，由自动化工具生成的海量安全警报正令安全和开发团队不堪重负。该报告分析了178家组织在90天（2024年第四季度）内产生的1.01亿条应用安全检测结果，数据显示仅有2-5%的安全警报需要立即处理，而企业仍在剩余95%的非关键问题上浪费宝贵资源。

警报泛滥与资源错配

企业平均需要处理569,354条安全警报，但通过基于上下文分析的优先级排序，这一数字可缩减至11,836条，其中真正关键的问题仅占202条。报告揭示了一个严峻现实：尽管绝大多数警报属于低风险范畴，安全团队仍耗费大量精力处理非实质性威胁，导致真正的安全风险可能被忽视。

漏洞数量呈指数级增长

近年来应用安全漏洞数量激增。公开漏洞数据库CVE显示，2015年仅记录6,494个漏洞，而2024年达到40,291个，使得已知漏洞总量逼近20万大关。事件响应与安全团队论坛（FIRST）预测，2025年将新增4.1万至5万个漏洞。这种增长趋势与软件开发周期缩短的压力叠加，使得安全团队疲于应对。

安全工具虽然擅长发现问题，但产生的海量警报导致"警报疲劳"现象。开发团队在早期阶段（修复成本最低时）往往无暇处理这些漏洞，形成恶性循环。更棘手的是，现有扫描器难以区分真正的安全漏洞与普通编码缺陷。

金融机构面临更高风险

在所有问题中，约1.71%（36,000个）被列为"已知已利用漏洞"（KEV）。这些由美国网络安全与基础设施安全局（CISA）维护的漏洞清单，记录着已被实际利用的高危漏洞，其修复优先级理应最高。特别值得注意的是，金融机构的警报量比平均水平高出55%，由于其涉及金融交易和敏感数据，自然成为攻击者的高价值目标。

智能筛选势在必行

95%的非关键警报问题凸显了上下文分析和证据优先级排序的重要性。企业需要建立智能过滤机制，将有限的安全资源集中在真正威胁关键业务资产的漏洞上。这包括优化漏洞赏金计划的支出，以及减少对已进入生产环境的漏洞的修复成本。应用安全的未来不在于修复所有潜在漏洞，而在于精准识别并处置那些具有实际风险的威胁。

参考来源：

Only 2-5% of application security alerts require immediate action