JFrog 的最新報告深入分析了 2022 年的開源安全漏洞對 DevOps 和 DevSecOps 團隊影響最大的漏洞。
報告顯示,前 10 個 CVE 中有六個的嚴重性被高估了,這意味著它們在 NVD 評級中的得分高於 JFrog 自己的分析。此外,企業中最常出現的 CVE 是嚴重程度較低的問題,根本就沒有修復過。
在 Artifactory 中發現的前 50 個常見 CVE 中,64% 被高估,26% 相等,10%實際上被低估了。
修復一個安全問題大約需要 246 天,而且大多數組織的資源有限,因此能夠正確識別並優先緩解最嚴重的漏洞至關重要。
JFrog 的分析基於真實的-world,來自 JFrog Artifactory 的匿名數據,該公司的軟件存儲庫被 7,000 多家全球客戶用來安全地管理軟件供應鏈中的工件、二進製文件和其他項目。這種匿名數據提供了領先公司在現實世界中使用情況的視圖,揭示了最有可能影響全球軟件公司的問題。
“當前的 CVSS 系統存在缺陷,因為漏洞評分並不總是得到真正驗證在發布之前,”JFrog 安全研究高級主管 Shachar Menashe 說。 “本報告中詳述的大多數漏洞比報告的更難利用,因此不值得獲得高 NVD 嚴重性評級。漏洞應該通過現實世界的影響和上下文分析來評估——CVE 在您的網站中的可利用程度如何本地環境?當 CNA 分配具有新聞價值但毫無根據的高危急程度時,這是不合理的,這會導致組織浪費寶貴的時間和資源來緩解極不可能對其係統產生任何實際影響的漏洞。”
您可以在 JFrog 網站上找到更多信息。
圖片信用:nicescene/depositphotos.com