Le dernier rapport de JFrog examine les vulnérabilités les plus répandues en 2022 avec une analyse approfondie de la sécurité open source vulnérabilités qui ont le plus d’impact pour les équipes DevOps et DevSecOps.
Le rapport montre que la gravité de six des 10 principaux CVE a été surestimée, ce qui signifie qu’ils ont obtenu un score plus élevé dans la notation NVD que dans la propre analyse de JFrog. De plus, les CVE apparaissant le plus souvent dans les entreprises sont des problèmes de faible gravité qui n’ont tout simplement jamais été résolus.
Sur les 50 CVE les plus courants trouvés dans Artifactory, 64 % étaient surestimés, 26 % étaient égaux et 10 % étaient en fait sous-estimés.
Il faut environ 246 jours pour résoudre un problème de sécurité et la plupart des organisations disposent de ressources limitées. La capacité d’identifier et de hiérarchiser correctement l’atténuation des vulnérabilités les plus graves est donc cruciale.
L’analyse de JFrog est basée sur des données réelles-world, données anonymisées de JFrog Artifactory, le référentiel de logiciels de la société utilisé par plus de 7 000 clients mondiaux pour gérer en toute sécurité les artefacts, les fichiers binaires et d’autres éléments de la chaîne d’approvisionnement logicielle. Ces données anonymisées fournissent une vue de l’utilisation réelle par les principales entreprises, révélant les problèmes les plus susceptibles d’affecter les éditeurs de logiciels dans le monde entier.
“Le système CVSS actuel est défectueux car les scores de vulnérabilité ne sont pas toujours vraiment vérifiés avant leur publication », explique Shachar Menashe, directeur principal de la recherche sur la sécurité chez JFrog.”La majorité des vulnérabilités détaillées dans ce rapport étaient plus difficiles à exploiter que celles signalées, et ne méritaient donc pas leur cote de gravité NVD élevée. Les vulnérabilités doivent être évaluées à la fois par l’impact dans le monde réel et par une analyse contextuelle-dans quelle mesure le CVE est-il exploitable dans votre Il est déraisonnable que les CNA attribuent une criticité élevée digne d’intérêt mais sans fondement, ce qui oblige les organisations à perdre un temps et des ressources précieux pour atténuer une vulnérabilité qui est extrêmement peu susceptible d’avoir un impact réel sur leurs systèmes.”
Vous pouvez en savoir plus sur le site JFrog.
Image crédit : nicescene/depositphotos.com