網(wǎng)絡(luò)消費(fèi)網(wǎng) >  科技 > > 正文
每日動(dòng)態(tài)!新報(bào)告認(rèn)為現(xiàn)有CVSS評(píng)分系統(tǒng)存在不足:前10漏洞中有6個(gè)被高估
時(shí)間:2023-02-14 13:08:59


(相關(guān)資料圖)

IT之家 2 月 14 日消息,根據(jù)安全機(jī)構(gòu) JFrog 攻擊公布的最新報(bào)告,針對(duì) 2022 年的 CVE 高危漏洞,深入分析了對(duì) DevOps 和 DevSecOps 團(tuán)隊(duì)影響最大的開源安全漏洞。

報(bào)告中指出在 2022 年報(bào)告的前 10 個(gè) CVE 漏洞中,有 6 個(gè)漏洞的危險(xiǎn)性被高估了。這意味著它們?cè)?NVD 評(píng)級(jí)中的得分高于 JFrog 自己的分析。此外,企業(yè)中最常出現(xiàn)的 CVE 是根本無法解決的低嚴(yán)重性問題。

報(bào)告中指出企業(yè)修復(fù)一個(gè)安全問題大約需要 246 天,而且大多數(shù)組織的資源有限,能夠正確識(shí)別最嚴(yán)重的漏洞并確定緩解措施的優(yōu)先級(jí)對(duì)于企業(yè)來說至關(guān)重要。

JFrog 的分析基于來自 JFrog Artifactory 的真實(shí)匿名數(shù)據(jù),該公司的軟件存儲(chǔ)庫被全球 7000 多家客戶用于安全管理軟件供應(yīng)鏈中的工件、二進(jìn)制文件和其他項(xiàng)目。這些匿名數(shù)據(jù)提供了領(lǐng)先公司在現(xiàn)實(shí)世界中使用情況的視圖,揭示了最有可能影響全球軟件公司的問題。

JFrog 安全研究高級(jí)主管 Shachar Menashe 認(rèn)為:

當(dāng)前的 CVSS 系統(tǒng)存在缺陷,漏洞評(píng)分在發(fā)布前總是無法得到真正驗(yàn)證。本報(bào)告中詳述的大多數(shù)漏洞比報(bào)告的更難利用,因此不值得獲得高 NVD 嚴(yán)重性評(píng)級(jí)。

漏洞應(yīng)該通過現(xiàn)實(shí)世界的影響和實(shí)際情境分析來評(píng)估,CVE 在您的網(wǎng)站中的可利用程度如何影響本地環(huán)境?

當(dāng) CNA 分配具有新聞價(jià)值但毫無根據(jù)的高危急程度時(shí),這是不合理的,這會(huì)導(dǎo)致組織浪費(fèi)寶貴的時(shí)間和資源來緩解極不可能對(duì)其系統(tǒng)產(chǎn)生任何實(shí)際影響的漏洞。

關(guān)鍵詞:

版權(quán)聲明:
    凡注明來網(wǎng)絡(luò)消費(fèi)網(wǎng)的作品,版權(quán)均屬網(wǎng)絡(luò)消費(fèi)網(wǎng)所有,未經(jīng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權(quán)使用作品的,應(yīng)在授權(quán)范圍內(nèi)使用,并注明"來源:網(wǎng)絡(luò)消費(fèi)網(wǎng)"。違反上述聲明者,本網(wǎng)將追究其相關(guān)法律責(zé)任。
    除來源署名為網(wǎng)絡(luò)消費(fèi)網(wǎng)稿件外,其他所轉(zhuǎn)載內(nèi)容之原創(chuàng)性、真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考并自行核實(shí)。
熱文

網(wǎng)站首頁 |網(wǎng)站簡(jiǎn)介 | 關(guān)于我們 | 廣告業(yè)務(wù) | 投稿信箱
 

Copyright © 2000-2020 m.netfop.cn All Rights Reserved.
 

中國(guó)網(wǎng)絡(luò)消費(fèi)網(wǎng) 版權(quán)所有 未經(jīng)書面授權(quán) 不得復(fù)制或建立鏡像
 

聯(lián)系郵箱:920 891 263@qq.com

備案號(hào):京ICP備2022016840號(hào)-15

營(yíng)業(yè)執(zhí)照公示信息