别再危言耸听！大多数被评为“严重”的 Bug 评级具有误导性

74%被列为“高”或“严重”的 CVSS 评级在大多数常见情况下并不适用，但有 60%的安全和开发团队仍花费 25%的时间修复这些漏洞。

近日，流式软件公司、JFrog 软件供应链平台背后的公司 JFrog 发布了其 《2024 年全球软件供应链发展报告》的调查结果，指出了新兴的发展趋势、行业风险以及保障企业软件供应链安全的最佳实践案例。

JFrog 首席技术官兼联合创始人 Yoav Landman 表示：“软件安全领域变幻莫测，全球的 DevSecOps 团队都在探索前行，在 AI 迅速普及的时代，更需要创新来满足需求。我们的数据涵盖了迅速发展的软件生态系统，为安全和开发组织提供了一个更为全面的介绍，包括值得关注的 CVE 评级错误、使用生成式 AI 进行编码所带来的安全影响相关洞察、允许组织用于开发的高风险软件包等信息，以便相关人员做出更明智的决策。”

JFrog 的《2024 年全球软件供应链发展报告》结合了超过 7000 家企业的 JFrog Artifactory 开发者使用数据、JFrog 安全研究团队原创的 CVE 分析、以及委托第三方对全球 1200 名技术专业人士进行的调查数据，旨在为快速发展的软件供应链领域提供信息参考。主要研究结果包括：

• 并非所有 CVE 都如表面所见：传统的 CVSS 评级仅关注漏洞利用的严重性，而非其被利用的可能性，后者需要结合具体情境才能做出有效的评估。JFrog 安全研究团队在分析了 2023 年发现的 212 个高知名度 CVE 后，平均将 85%的“严重”CVE 和 73%的“高危”CVE 的重要性评级下调。此外，JFrog 发现，在报告的前 100 个 Docker Hub 社区镜像中，74%的 CVSS 评级为“高危”和“严重”的常见 CVE 实际上是无法被利用的。

• 拒绝服务（DoS）攻击盛行：JFrog 安全研究团队分析的 212 个高知名度 CVE 中，有 44%存在发起 DoS 攻击的潜在威胁；17%存在执行远程代码（RCE）的潜在威胁。这对于安全组织来说是个好消息，因为 RCE 由于能够提供对后端系统的完全访问权限，与 DoS 攻击相比，其危害性更大。

• 安全问题会影响工作效率：40%的受访者表示，通常需要一周或更长时间才能获得使用新软件包/库的批准，这延长了新应用程序和软件更新的上市时间。此外，安全团队大约耗费 25%的时间用于修复漏洞，即使这些漏洞的风险在当前情况下可能被高估或甚至无法被利用。

• 在软件开发生命周期（SLDC）中采用安全检查方式的差异性 ——当涉及到决定在软件开发生命周期中的哪个阶段采取应用安全测试时，行业内存在明显分歧，这突显了同时进行左移和右移的重要性。42%的开发人员表示，最好在编写代码过程中执行安全扫描，而 41%的开发人员认为最好在新软件包从开源软件（OSS）库引入企业之前执行扫描。

• 安全工具的过度使用现象仍在持续 —— 近半数 IT 专业人士（47%）表示他们部署了四到九种应用安全解决方案。然而，有三分之一的调查对象和安全专业人士（33%）表示，他们正在使用十种乃至更多的应用安全解决方案。这一现象反映出市场对于安全工具整合的需求趋势，同时也表明人们正逐渐放弃单一的点对点解决方案，转而寻求综合性更高的安全工具集成。

• AI / ML 工具在安全领域的应用不成比例 ——尽管有 90%的受访者表示，他们的企业目前以某种形式使用 AI / ML 驱动的工具来协助安全扫描和修复工作，但只有三分之一的专业人士（32%）表示他们的组织使用 AI / ML 工具来编写代码。这反映出业内大多数人对 AI 生成的代码可能会为企业软件带来的潜在安全隐患仍持审慎态度。

尽管新发布的报告揭示了被列为“高”或“严重”的 CVSS 评级在大多数常见情况下并不适用，但企业对于软件供应链的安全意识，一刻也不应放松。以 JFrog 为例，其提供的安全方案聚焦于以统一的平台去实现管理，且不限制用户数，顺应了很多企业的需求。同时，作为 JFrog 的一大产品特点，JFrog Xray 和制品库是进行统一绑定的，即企业使用了 JFrog 的制品库，就无需额外购买 JFrog Xray，会自动获得安全扫描的能力。这进一步帮助企业的安全团队减少了工具安全扫描维护和采购的成本对的同时，还能够帮助企业在安全扫描、制品管理、供应链管理上提供统一的高性价比解决方案。 

JFrog 安全研究高级总监 Shachar Menashe 表示：“虽然安全漏洞的数量每年都在增加，但这并不意味着其严重性也在同步上升。显然，IT 团队愿意投资于新工具以提升安全性，但了解如何部署这些工具、如何有效利用团队时间以及简化流程，对于确保软件开发生命周期（SDLC）的安全至关重要。我们编制这份报告的目的不仅仅在于分析趋势，更是为了当技术业务领导者在针对 AI 导航、恶意代码或安全解决方案等方面制定决策时，能够为其提供清晰的指导和专业的技术咨询。”