(相關(guān)資料圖)

IT之家 2 月 14 日消息，根據(jù)安全機(jī)構(gòu) JFrog 攻擊公布的最新報(bào)告，針對(duì) 2022 年的 CVE 高危漏洞，深入分析了對(duì) DevOps 和 DevSecOps 團(tuán)隊(duì)影響最大的開(kāi)源安全漏洞。

報(bào)告中指出在 2022 年報(bào)告的前 10 個(gè) CVE 漏洞中，有 6 個(gè)漏洞的危險(xiǎn)性被高估了。這意味著它們?cè)?NVD 評(píng)級(jí)中的得分高于 JFrog 自己的分析。此外，企業(yè)中最常出現(xiàn)的 CVE 是根本無(wú)法解決的低嚴(yán)重性問(wèn)題。

報(bào)告中指出企業(yè)修復(fù)一個(gè)安全問(wèn)題大約需要 246 天，而且大多數(shù)組織的資源有限，能夠正確識(shí)別最嚴(yán)重的漏洞并確定緩解措施的優(yōu)先級(jí)對(duì)于企業(yè)來(lái)說(shuō)至關(guān)重要。

JFrog 的分析基于來(lái)自 JFrog Artifactory 的真實(shí)匿名數(shù)據(jù)，該公司的軟件存儲(chǔ)庫(kù)被全球 7000 多家客戶用于安全管理軟件供應(yīng)鏈中的工件、二進(jìn)制文件和其他項(xiàng)目。這些匿名數(shù)據(jù)提供了領(lǐng)先公司在現(xiàn)實(shí)世界中使用情況的視圖，揭示了最有可能影響全球軟件公司的問(wèn)題。

JFrog 安全研究高級(jí)主管 Shachar Menashe 認(rèn)為：

當(dāng)前的 CVSS 系統(tǒng)存在缺陷，漏洞評(píng)分在發(fā)布前總是無(wú)法得到真正驗(yàn)證。本報(bào)告中詳述的大多數(shù)漏洞比報(bào)告的更難利用，因此不值得獲得高 NVD 嚴(yán)重性評(píng)級(jí)。

漏洞應(yīng)該通過(guò)現(xiàn)實(shí)世界的影響和實(shí)際情境分析來(lái)評(píng)估，CVE 在您的網(wǎng)站中的可利用程度如何影響本地環(huán)境？

當(dāng) CNA 分配具有新聞價(jià)值但毫無(wú)根據(jù)的高危急程度時(shí)，這是不合理的，這會(huì)導(dǎo)致組織浪費(fèi)寶貴的時(shí)間和資源來(lái)緩解極不可能對(duì)其系統(tǒng)產(chǎn)生任何實(shí)際影響的漏洞。

關(guān)鍵詞：