O relatório mais recente do JFrog analisa as vulnerabilidades mais prevalentes em 2022 com uma análise aprofundada da segurança de código aberto vulnerabilidades que têm mais impacto para as equipes de DevOps e DevSecOps.
O relatório mostra que a gravidade de seis dos 10 principais CVEs foi superestimada, o que significa que eles pontuaram mais alto na classificação de NVD do que na própria análise de JFrog. Além disso, os CVEs que aparecem com mais frequência nas empresas são problemas de baixa gravidade que simplesmente nunca foram corrigidos.
Dos 50 principais CVEs encontrados no Artifactory, 64 por cento foram superestimados, 26 por cento eram iguais e 10 por cento foram realmente subestimados.
Leva cerca de 246 dias para remediar um problema de segurança e a maioria das organizações tem recursos limitados, portanto, a capacidade de identificar e priorizar corretamente a mitigação das vulnerabilidades mais graves é crucial.
A análise do JFrog é baseada em dados reais-world, dados anônimos do JFrog Artifactory, o repositório de software da empresa usado por mais de 7.000 clientes globais para gerenciar com segurança artefatos, binários e outros itens na cadeia de suprimentos de software. Esses dados anônimos fornecem uma visão do uso no mundo real por empresas líderes, revelando os problemas com maior probabilidade de afetar as empresas de software em todo o mundo.
“O sistema CVSS atual é falho, pois as pontuações de vulnerabilidade nem sempre são realmente verificadas antes de publicado”, disse Shachar Menashe, diretor sênior de pesquisa de segurança da JFrog.”A maioria das vulnerabilidades detalhadas neste relatório eram mais difíceis de explorar do que as relatadas e, portanto, não mereciam sua alta classificação de gravidade NVD. As vulnerabilidades devem ser avaliadas tanto pelo impacto no mundo real quanto pela análise contextual-quão explorável é o CVE em seu ambiente local? É inconcebível quando os CNAs atribuem uma alta criticidade que é interessante, mas infundada, fazendo com que as organizações desperdicem tempo e recursos valiosos para mitigar uma vulnerabilidade que é extremamente improvável que tenha qualquer impacto no mundo real em seus sistemas.”
Você pode saber mais no site do JFrog.
Imagem crédito: cenário agradável/depositphotos.com