(相關(guān)資料圖)
IT之家 2 月 14 日消息,根據(jù)安全機(jī)構(gòu) JFrog 攻擊公布的最新報(bào)告,針對(duì) 2022 年的 CVE 高危漏洞,深入分析了對(duì) DevOps 和 DevSecOps 團(tuán)隊(duì)影響最大的開源安全漏洞。
報(bào)告中指出在 2022 年報(bào)告的前 10 個(gè) CVE 漏洞中,有 6 個(gè)漏洞的危險(xiǎn)性被高估了。這意味著它們?cè)?NVD 評(píng)級(jí)中的得分高于 JFrog 自己的分析。此外,企業(yè)中最常出現(xiàn)的 CVE 是根本無法解決的低嚴(yán)重性問題。
報(bào)告中指出企業(yè)修復(fù)一個(gè)安全問題大約需要 246 天,而且大多數(shù)組織的資源有限,能夠正確識(shí)別最嚴(yán)重的漏洞并確定緩解措施的優(yōu)先級(jí)對(duì)于企業(yè)來說至關(guān)重要。
JFrog 的分析基于來自 JFrog Artifactory 的真實(shí)匿名數(shù)據(jù),該公司的軟件存儲(chǔ)庫被全球 7000 多家客戶用于安全管理軟件供應(yīng)鏈中的工件、二進(jìn)制文件和其他項(xiàng)目。這些匿名數(shù)據(jù)提供了領(lǐng)先公司在現(xiàn)實(shí)世界中使用情況的視圖,揭示了最有可能影響全球軟件公司的問題。
JFrog 安全研究高級(jí)主管 Shachar Menashe 認(rèn)為:
當(dāng)前的 CVSS 系統(tǒng)存在缺陷,漏洞評(píng)分在發(fā)布前總是無法得到真正驗(yàn)證。本報(bào)告中詳述的大多數(shù)漏洞比報(bào)告的更難利用,因此不值得獲得高 NVD 嚴(yán)重性評(píng)級(jí)。
漏洞應(yīng)該通過現(xiàn)實(shí)世界的影響和實(shí)際情境分析來評(píng)估,CVE 在您的網(wǎng)站中的可利用程度如何影響本地環(huán)境?
當(dāng) CNA 分配具有新聞價(jià)值但毫無根據(jù)的高危急程度時(shí),這是不合理的,這會(huì)導(dǎo)致組織浪費(fèi)寶貴的時(shí)間和資源來緩解極不可能對(duì)其系統(tǒng)產(chǎn)生任何實(shí)際影響的漏洞。
關(guān)鍵詞:
網(wǎng)站首頁 |網(wǎng)站簡(jiǎn)介 | 關(guān)于我們 | 廣告業(yè)務(wù) | 投稿信箱
Copyright © 2000-2020 m.netfop.cn All Rights Reserved.
中國(guó)網(wǎng)絡(luò)消費(fèi)網(wǎng) 版權(quán)所有 未經(jīng)書面授權(quán) 不得復(fù)制或建立鏡像
聯(lián)系郵箱:920 891 263@qq.com