(相關資料圖)

IT之家 2 月 14 日消息，根據(jù)安全機構 JFrog 攻擊公布的最新報告，針對 2022 年的 CVE 高危漏洞，深入分析了對 DevOps 和 DevSecOps 團隊影響最大的開源安全漏洞。

報告中指出在 2022 年報告的前 10 個 CVE 漏洞中，有 6 個漏洞的危險性被高估了。這意味著它們在 NVD 評級中的得分高于 JFrog 自己的分析。此外，企業(yè)中最常出現(xiàn)的 CVE 是根本無法解決的低嚴重性問題。

報告中指出企業(yè)修復一個安全問題大約需要 246 天，而且大多數(shù)組織的資源有限，能夠正確識別最嚴重的漏洞并確定緩解措施的優(yōu)先級對于企業(yè)來說至關重要。

JFrog 的分析基于來自 JFrog Artifactory 的真實匿名數(shù)據(jù)，該公司的軟件存儲庫被全球 7000 多家客戶用于安全管理軟件供應鏈中的工件、二進制文件和其他項目。這些匿名數(shù)據(jù)提供了領先公司在現(xiàn)實世界中使用情況的視圖，揭示了最有可能影響全球軟件公司的問題。

JFrog 安全研究高級主管 Shachar Menashe 認為：

當前的 CVSS 系統(tǒng)存在缺陷，漏洞評分在發(fā)布前總是無法得到真正驗證。本報告中詳述的大多數(shù)漏洞比報告的更難利用，因此不值得獲得高 NVD 嚴重性評級。

漏洞應該通過現(xiàn)實世界的影響和實際情境分析來評估，CVE 在您的網(wǎng)站中的可利用程度如何影響本地環(huán)境？

當 CNA 分配具有新聞價值但毫無根據(jù)的高危急程度時，這是不合理的，這會導致組織浪費寶貴的時間和資源來緩解極不可能對其系統(tǒng)產(chǎn)生任何實際影響的漏洞。

關鍵詞：