JFrog全球軟件供應鏈發(fā)展報告指出,大多數被評為“嚴重”的漏洞評級具有誤導性

  • 人閱讀
  • 2024-05-27 14:35:18

  • 來源:西盟科技資訊

  • 相關關鍵詞

74%被列為“高”或“嚴重”的CVSS評級在大多數常見情況下并不適用,但有60%的安全和開發(fā)團隊仍花費25%的時間修復這些漏洞

2024年5月21日——流式軟件公司、JFrog軟件供應鏈平臺的締造者JFrog(納斯達克股票代碼:FROG)近日發(fā)布了其《2024年全球軟件供應鏈發(fā)展報告》的調查結果,指出了新興的發(fā)展趨勢、行業(yè)風險以及保障企業(yè)軟件供應鏈安全的最佳實踐案例。

JFrog首席技術官兼聯(lián)合創(chuàng)始人Yoav Landman表示:“軟件安全領域變幻莫測,全球的DevSecOps團隊都在探索前行,在AI迅速普及的時代,更需要創(chuàng)新來滿足需求。我們的數據涵蓋了迅速發(fā)展的軟件生態(tài)系統(tǒng),為安全和開發(fā)組織提供了一個更為全面的介紹,包括值得關注的CVE評級錯誤、使用生成式AI進行編碼所帶來的安全影響相關洞察、允許組織用于開發(fā)的高風險軟件包等信息,以便相關人員做出更明智的決策。”

研究結果亮點

JFrog的《2024年全球軟件供應鏈發(fā)展報告》結合了超過7000家企業(yè)的JFrog Artifactory開發(fā)者使用數據、JFrog安全研究團隊原創(chuàng)的CVE分析、以及委托第三方對全球1200名技術專業(yè)人士進行的調查數據,旨在為快速發(fā)展的軟件供應鏈領域提供信息參考。主要研究結果包括:

●并非所有CVE都如表面所見:傳統(tǒng)的CVSS評級僅關注漏洞利用的嚴重性,而非其被利用的可能性,后者需要結合具體情境才能做出有效的評估。JFrog安全研究團隊在分析了2023年發(fā)現的212個高知名度CVE后,平均將85%的“嚴重”CVE和73%的“高危”CVE的重要性評級下調。此外,JFrog發(fā)現,在報告的前100個Docker Hub社區(qū)鏡像中,74%的CVSS評級為“高危”和“嚴重”的常見CVE實際上是無法被利用的。

●拒絕服務(DoS)攻擊盛行:JFrog安全研究團隊分析的212個高知名度CVE中,有44%存在發(fā)起DoS攻擊的潛在威脅;17%存在執(zhí)行遠程代碼(RCE)的潛在威脅。這對于安全組織來說是個好消息,因為RCE由于能夠提供對后端系統(tǒng)的完全訪問權限,與DoS攻擊相比,其危害性更大。

●安全問題會影響工作效率:40%的受訪者表示,通常需要一周或更長時間才能獲得使用新軟件包/庫的批準,這延長了新應用程序和軟件更新的上市時間。此外,安全團隊大約耗費25%的時間用于修復漏洞,即使這些漏洞的風險在當前情況下可能被高估或甚至無法被利用。

●在軟件開發(fā)生命周期(SLDC)中采用安全檢查方式的差異性——當涉及到決定在軟件開發(fā)生命周期中的哪個階段采取應用安全測試時,行業(yè)內存在明顯分歧,這突顯了同時進行左移和右移的重要性。42%的開發(fā)人員表示,最好在編寫代碼過程中執(zhí)行安全掃描,而41%的開發(fā)人員認為最好在新軟件包從開源軟件(OSS)庫引入企業(yè)之前執(zhí)行掃描。

●安全工具的過度使用現象仍在持續(xù)——近半數IT專業(yè)人士(47%)表示他們部署了四到九種應用安全解決方案。然而,有三分之一的調查對象和安全專業(yè)人士(33%)表示,他們正在使用十種乃至更多的應用安全解決方案。這一現象反映出市場對于安全工具整合的需求趨勢,同時也表明人們正逐漸放棄單一的點對點解決方案,轉而尋求綜合性更高的安全工具集成。

AI/ML工具在安全領域的應用不成比例——盡管有90%的受訪者表示,他們的企業(yè)目前以某種形式使用AI/ML驅動的工具來協(xié)助安全掃描和修復工作,但只有三分之一的專業(yè)人士(32%)表示他們的組織使用AI/ML工具來編寫代碼。這反映出業(yè)內大多數人對AI生成的代碼可能會為企業(yè)軟件帶來的潛在安全隱患仍持審慎態(tài)度。

JFrog安全研究高級總監(jiān)Shachar Menashe表示:“雖然安全漏洞的數量每年都在增加,但這并不意味著其嚴重性也在同步上升。顯然,IT團隊愿意投資于新工具以提升安全性,但了解如何部署這些工具、如何有效利用團隊時間以及簡化流程,對于確保軟件開發(fā)生命周期(SDLC)的安全至關重要。我們編制這份報告的目的不僅僅在于分析趨勢,更是為了當技術業(yè)務領導者在針對AI導航、惡意代碼或安全解決方案等方面制定決策時,能夠為其提供清晰的指導和專業(yè)的技術咨詢。”

###

關于JFrog

JFrog Ltd.(納斯達克股票代碼:FROG)的使命是創(chuàng)造一個從開發(fā)人員到設備之間暢通無阻的軟件交付世界。秉承“流式軟件”的理念,JFrog軟件供應鏈平臺是統(tǒng)一的記錄系統(tǒng),幫助企業(yè)快速安全地構建、管理和分發(fā)軟件,確保軟件可用、可追溯和防篡改。集成的安全功能還有助于發(fā)現和抵御威脅和漏洞并加以補救。JFrog 的混合、通用、多云平臺可以作為跨多個主流云服務提供商的自托管和SaaS服務。全球數百萬用戶和7000多名客戶,包括大多數財富100強企業(yè),依靠JFrog解決方案安全地開展數字化轉型。一用便知!如欲了解更多信息,請訪問jfrogchina.com或者關注我們的微信官方賬號:JFrog捷蛙。

(免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )