色婷婷AⅤ一区二区三区|亚洲精品第一国产综合亚AV|久久精品官方网视频|日本28视频香蕉

          關(guān) 閉

          新聞中心

          EEPW首頁 > 安全與國防 > 業(yè)界動態(tài) > JFrog全球軟件供應(yīng)鏈發(fā)展報告指出,大多數(shù)被評為“嚴(yán)重”的漏洞評級具有誤導(dǎo)性

          JFrog全球軟件供應(yīng)鏈發(fā)展報告指出,大多數(shù)被評為“嚴(yán)重”的漏洞評級具有誤導(dǎo)性

          —— 74%被列為“高”或“嚴(yán)重”的CVSS評級在大多數(shù)常見情況下并不適用,但有60%的安全和開發(fā)團隊仍花費25%的時間修復(fù)這些漏洞
          作者: 時間:2024-05-21 來源:EEPW 收藏

          流式軟件公司、 平臺的締造者近日發(fā)布了其 《2024年全球發(fā)展報告》的調(diào)查結(jié)果,指出了新興的發(fā)展趨勢、行業(yè)風(fēng)險以及保障企業(yè)安全的最佳實踐案例。

          本文引用地址:http://cafeforensic.com/article/202405/459005.htm

          首席技術(shù)官兼聯(lián)合創(chuàng)始人Yoav Landman表示:“軟件安全領(lǐng)域變幻莫測,全球的 DevSecOps 團隊都在探索前行,在 AI 迅速普及的時代,更需要創(chuàng)新來滿足需求。我們的數(shù)據(jù)涵蓋了迅速發(fā)展的軟件生態(tài)系統(tǒng),為安全和開發(fā)組織提供了一個更為全面的介紹,包括值得關(guān)注的 CVE 評級錯誤、使用生成式AI進(jìn)行編碼所帶來的安全影響相關(guān)洞察、允許組織用于開發(fā)的高風(fēng)險軟件包等信息,以便相關(guān)人員做出更明智的決策?!?/p>

          研究結(jié)果亮點

          JFrog 的《2024年全球軟件供應(yīng)鏈發(fā)展報告》結(jié)合了超過7000家企業(yè)的JFrog Artifactory開發(fā)者使用數(shù)據(jù)、JFrog安全研究團隊原創(chuàng)的CVE分析、以及委托第三方對全球1200名技術(shù)專業(yè)人士進(jìn)行的調(diào)查數(shù)據(jù),旨在為快速發(fā)展的軟件供應(yīng)鏈領(lǐng)域提供信息參考。主要研究結(jié)果包括:

          ●   并非所有CVE都如表面所見:傳統(tǒng)的CVSS評級僅關(guān)注利用的嚴(yán)重性,而非其被利用的可能性,后者需要結(jié)合具體情境才能做出有效的評估。JFrog安全研究團隊在分析了2023年發(fā)現(xiàn)的212個高知名度CVE后,平均將85%的“嚴(yán)重”CVE和73%的“高危”CVE的重要性評級下調(diào)。此外,JFrog發(fā)現(xiàn),在報告的前100個Docker Hub社區(qū)鏡像中,74%的CVSS評級為“高?!焙汀皣?yán)重”的常見CVE實際上是無法被利用的。

          ●   拒絕服務(wù)(DoS)攻擊盛行:JFrog安全研究團隊分析的212個高知名度CVE中,有44%存在發(fā)起DoS攻擊的潛在威脅; 17%存在執(zhí)行遠(yuǎn)程代碼(RCE)的潛在威脅。這對于安全組織來說是個好消息,因為RCE由于能夠提供對后端系統(tǒng)的完全訪問權(quán)限,與DoS攻擊相比,其危害性更大。

          ●   安全問題會影響工作效率:40%的受訪者表示,通常需要一周或更長時間才能獲得使用新軟件包/庫的批準(zhǔn),這延長了新應(yīng)用程序和軟件更新的上市時間。此外,安全團隊大約耗費25%的時間用于修復(fù),即使這些的風(fēng)險在當(dāng)前情況下可能被高估或甚至無法被利用。

          ●   在軟件開發(fā)生命周期(SLDC)中采用安全檢查方式的差異性——當(dāng)涉及到?jīng)Q定在軟件開發(fā)生命周期中的哪個階段采取應(yīng)用安全測試時,行業(yè)內(nèi)存在明顯分歧,這突顯了同時進(jìn)行左移和右移的重要性。42%的開發(fā)人員表示,最好在編寫代碼過程中執(zhí)行安全掃描,而41%的開發(fā)人員認(rèn)為最好在新軟件包從開源軟件(OSS)庫引入企業(yè)之前執(zhí)行掃描。

          ●   安全工具的過度使用現(xiàn)象仍在持續(xù)——近半數(shù)IT專業(yè)人士(47%)表示他們部署了四到九種應(yīng)用安全解決方案。然而,有三分之一的調(diào)查對象和安全專業(yè)人士(33%)表示,他們正在使用十種乃至更多的應(yīng)用安全解決方案。這一現(xiàn)象反映出市場對于安全工具整合的需求趨勢,同時也表明人們正逐漸放棄單一的點對點解決方案,轉(zhuǎn)而尋求綜合性更高的安全工具集成。

          ●   AI/ML工具在安全領(lǐng)域的應(yīng)用不成比例——盡管有90%的受訪者表示,他們的企業(yè)目前以某種形式使用AI / ML驅(qū)動的工具來協(xié)助安全掃描和修復(fù)工作,但只有三分之一的專業(yè)人士(32%)表示他們的組織使用AI / ML工具來編寫代碼。這反映出業(yè)內(nèi)大多數(shù)人對AI生成的代碼可能會為企業(yè)軟件帶來的潛在安全隱患仍持審慎態(tài)度。

          JFrog安全研究高級總監(jiān)Shachar Menashe表示:“雖然安全漏洞的數(shù)量每年都在增加,但這并不意味著其嚴(yán)重性也在同步上升。顯然,IT團隊愿意投資于新工具以提升安全性,但了解如何部署這些工具、如何有效利用團隊時間以及簡化流程,對于確保軟件開發(fā)生命周期(SDLC)的安全至關(guān)重要。我們編制這份報告的目的不僅僅在于分析趨勢,更是為了當(dāng)技術(shù)業(yè)務(wù)領(lǐng)導(dǎo)者在針對AI導(dǎo)航、惡意代碼或安全解決方案等方面制定決策時,能夠為其提供清晰的指導(dǎo)和專業(yè)的技術(shù)咨詢。”



          關(guān)鍵詞: JFrog 軟件供應(yīng)鏈 漏洞

          評論


          相關(guān)推薦

          技術(shù)專區(qū)

          關(guān)閉