写点什么

别再危言耸听!大多数被评为“严重”的 Bug 评级具有误导性

  • 2024-05-28
    北京
  • 本文字数:1815 字

    阅读完需:约 6 分钟

大小:966.56K时长:05:29
别再危言耸听!大多数被评为“严重”的Bug评级具有误导性

74%被列为“高”或“严重”的 CVSS 评级在大多数常见情况下并不适用,但有 60%的安全和开发团队仍花费 25%的时间修复这些漏洞。

 

近日,流式软件公司、JFrog 软件供应链平台背后的公司 JFrog 发布了其 《2024 年全球软件供应链发展报告》的调查结果,指出了新兴的发展趋势、行业风险以及保障企业软件供应链安全的最佳实践案例。

 

JFrog 首席技术官兼联合创始人 Yoav Landman 表示:“软件安全领域变幻莫测,全球的 DevSecOps 团队都在探索前行,在 AI 迅速普及的时代,更需要创新来满足需求。我们的数据涵盖了迅速发展的软件生态系统,为安全和开发组织提供了一个更为全面的介绍,包括值得关注的 CVE 评级错误、使用生成式 AI 进行编码所带来的安全影响相关洞察、允许组织用于开发的高风险软件包等信息,以便相关人员做出更明智的决策。”

 

JFrog 的《2024 年全球软件供应链发展报告》结合了超过 7000 家企业的 JFrog Artifactory 开发者使用数据、JFrog 安全研究团队原创的 CVE 分析、以及委托第三方对全球 1200 名技术专业人士进行的调查数据,旨在为快速发展的软件供应链领域提供信息参考。主要研究结果包括:

 

  • 并非所有 CVE 都如表面所见:传统的 CVSS 评级仅关注漏洞利用的严重性,而非其被利用的可能性,后者需要结合具体情境才能做出有效的评估。JFrog 安全研究团队在分析了 2023 年发现的 212 个高知名度 CVE 后,平均将 85%的“严重”CVE 和 73%的“高危”CVE 的重要性评级下调。此外,JFrog 发现,在报告的前 100 个 Docker Hub 社区镜像中,74%的 CVSS 评级为“高危”和“严重”的常见 CVE 实际上是无法被利用的。

 

  • 拒绝服务(DoS)攻击盛行:JFrog 安全研究团队分析的 212 个高知名度 CVE 中,有 44%存在发起 DoS 攻击的潜在威胁;17%存在执行远程代码(RCE)的潜在威胁。这对于安全组织来说是个好消息,因为 RCE 由于能够提供对后端系统的完全访问权限,与 DoS 攻击相比,其危害性更大。

 

  • 安全问题会影响工作效率:40%的受访者表示,通常需要一周或更长时间才能获得使用新软件包/库的批准,这延长了新应用程序和软件更新的上市时间。此外,安全团队大约耗费 25%的时间用于修复漏洞,即使这些漏洞的风险在当前情况下可能被高估或甚至无法被利用。

 

  • 在软件开发生命周期(SLDC)中采用安全检查方式的差异性 ——当涉及到决定在软件开发生命周期中的哪个阶段采取应用安全测试时,行业内存在明显分歧,这突显了同时进行左移和右移的重要性。42%的开发人员表示,最好在编写代码过程中执行安全扫描,而 41%的开发人员认为最好在新软件包从开源软件(OSS)库引入企业之前执行扫描。

 

  • 安全工具的过度使用现象仍在持续 —— 近半数 IT 专业人士(47%)表示他们部署了四到九种应用安全解决方案。然而,有三分之一的调查对象和安全专业人士(33%)表示,他们正在使用十种乃至更多的应用安全解决方案。这一现象反映出市场对于安全工具整合的需求趋势,同时也表明人们正逐渐放弃单一的点对点解决方案,转而寻求综合性更高的安全工具集成。

 

  • AI / ML 工具在安全领域的应用不成比例 ——尽管有 90%的受访者表示,他们的企业目前以某种形式使用 AI / ML 驱动的工具来协助安全扫描和修复工作,但只有三分之一的专业人士(32%)表示他们的组织使用 AI / ML 工具来编写代码。这反映出业内大多数人对 AI 生成的代码可能会为企业软件带来的潜在安全隐患仍持审慎态度。

 

尽管新发布的报告揭示了被列为“高”或“严重”的 CVSS 评级在大多数常见情况下并不适用,但企业对于软件供应链的安全意识,一刻也不应放松。以 JFrog 为例,其提供的安全方案聚焦于以统一的平台去实现管理,且不限制用户数,顺应了很多企业的需求。同时,作为 JFrog 的一大产品特点,JFrog Xray 和制品库是进行统一绑定的,即企业使用了 JFrog 的制品库,就无需额外购买 JFrog Xray,会自动获得安全扫描的能力。这进一步帮助企业的安全团队减少了工具安全扫描维护和采购的成本对的同时,还能够帮助企业在安全扫描、制品管理、供应链管理上提供统一的高性价比解决方案。 


JFrog 安全研究高级总监 Shachar Menashe 表示:“虽然安全漏洞的数量每年都在增加,但这并不意味着其严重性也在同步上升。显然,IT 团队愿意投资于新工具以提升安全性,但了解如何部署这些工具、如何有效利用团队时间以及简化流程,对于确保软件开发生命周期(SDLC)的安全至关重要。我们编制这份报告的目的不仅仅在于分析趋势,更是为了当技术业务领导者在针对 AI 导航、恶意代码或安全解决方案等方面制定决策时,能够为其提供清晰的指导和专业的技术咨询。”

2024-05-28 21:394719
用户头像
李冬梅 加V:busulishang4668

发布了 963 篇内容, 共 560.7 次阅读, 收获喜欢 1119 次。

关注

评论

发布
暂无评论
发现更多内容

全网最全人工智能专业术语表(中英文对照)

澳鹏Appen

人工智能 大数据 数据 科技互联网 专业术语

Linux ln 命令

一个大红包

4月日更

安全之路其修远兮,吾将上下而求索

Thrash

七进七出,终获阿里32k*16offer,这就是我悲惨的面试经历~

Java架构师迁哥

锁仓挖矿系统开发|锁仓挖矿APP软件开发

系统开发

查漏补缺!驱动核心源码详解和Binder超系统学习资源,挥泪整理面经

欢喜学安卓

android 程序员 面试 移动开发

阿里巴巴开源容器镜像加速技术

阿里巴巴云原生

Serverless 容器 云原生 k8s 存储

聪明人的训练(六)

Changing Lin

4月日更

apk优化,Android高级工程师必看系列,在线面试指南

欢喜学安卓

android 程序员 面试 移动开发

Fluid — 云原生环境下的高效“数据物流系统”

阿里巴巴云原生

人工智能 云计算 容器 云原生 存储

双非本化学跨专业,投岗阿里/滴滴后端三面,最终拿下offer

Java 编程 程序员 架构 面试

给视频添加雪花飘落特效

老猿Python

OpenCV 音视频 图形图像处理 视频特效 引航计划

跟单交易系统开发|跟单交易APP软件开发

系统开发

Knative 基于流量的灰度发布和自动弹性实践

阿里巴巴云原生

Serverless 容器 开发者 云原生 k8s

Flink集成Iceberg在同程艺龙的实践

Apache Flink

flink

图解云原生应用设计模式

倪朋飞

Kubernetes 云原生

模块一课后作业

追随哆咪

架构实战营

架构实战营模块一作业

冷大大

作业 架构实战营 模块一

秒合约交易系统开发|秒合约交易APP软件开发

系统开发

二十八分钟,带你用gitlab向企业微信发出灵魂拷问

📿

Java gitlab gitlab ci

架构实战营课程1作业

求索

学习 架构实战营

史上最全的Java面试题库宝典,Github上标星200k,太香了!

Java架构之路

Java 程序员 架构 面试 编程语言

金三银四旗开得胜!春招字节正式批4面,顺利拿到offer

Java 编程 程序员 架构 面试

音频应用类开源 Demo 大盘点

anyRTC开发者

ios android 音视频 WebRTC RTC

项目优化-代码拆分

Darren

android 组件化 代码优化

阿里的 RocketMQ 如何让双十一峰值之下 0 故障?

阿里巴巴云原生

容器 运维 云原生 k8s 消息中间件

翻译:《实用的Python编程》02_00_Overview

codists

Python

微信业务架构图

@oo?金樱子

数字货币期权交易系统开发|数字货币期权交易APP软件开发

系统开发

北京天源迪科上线迪科商旅App

DT极客

架构实战营模块1作业

半夏

学习 架构实战营

别再危言耸听!大多数被评为“严重”的Bug评级具有误导性_生成式 AI_李冬梅_InfoQ精选文章