JFrog全球软件供应链发展报告指出,大多数被评为“严重”的漏洞评级具有误导性

发布时间:2024-05-21  

74%被列为“高”或“严重”的CVSS评级在大多数常见情况下并不适用,但有60%的安全和开发团队仍花费25%的时间修复这些漏洞


2024 年 5月 21 日 —— 流式软件公司、 JFrog 软件供应链平台的缔造者JFrog (纳斯达克股票代码:FROG)近日发布了其 《2024年全球软件供应链发展报告》的调查结果,指出了新兴的发展趋势、行业风险以及保障企业软件供应链安全的最佳实践案例。


JFrog 首席技术官兼联合创始人 Yoav Landman 表示:“软件安全领域变幻莫测,全球的 DevSecOps 团队都在探索前行,在 AI 迅速普及的时代,更需要创新来满足需求。我们的数据涵盖了迅速发展的软件生态系统,为安全和开发组织提供了一个更为全面的介绍,包括值得关注的 CVE 评级错误、使用生成式AI进行编码所带来的安全影响相关洞察、允许组织用于开发的高风险软件包等信息,以便相关人员做出更明智的决策。”


研究结果亮点


JFrog 的《2024年全球软件供应链发展报告》结合了超过7000家企业的JFrog Artifactory开发者使用数据、JFrog安全研究团队原创的CVE分析、以及委托第三方对全球1200名技术专业人士进行的调查数据,旨在为快速发展的软件供应链领域提供信息参考。主要研究结果包括:


  • 并非所有 CVE 都如表面所见:传统的CVSS评级仅关注漏洞利用的严重性,而非其被利用的可能性,后者需要结合具体情境才能做出有效的评估。JFrog安全研究团队在分析了2023年发现的212个高知名度CVE后,平均将85%的“严重”CVE和73%的“高危”CVE的重要性评级下调。此外,JFrog发现,在报告的前100个Docker Hub社区镜像中,74%的CVSS评级为“高危”和“严重”的常见CVE实际上是无法被利用的。


  • 拒绝服务(DoS)攻击盛行:JFrog安全研究团队分析的212个高知名度CVE中,有44%存在发起DoS攻击的潜在威胁; 17%存在执行远程代码(RCE)的潜在威胁。这对于安全组织来说是个好消息,因为RCE由于能够提供对后端系统的完全访问权限,与DoS攻击相比,其危害性更大。


  • 安全问题会影响工作效率:40%的受访者表示,通常需要一周或更长时间才能获得使用新软件包/库的批准,这延长了新应用程序和软件更新的上市时间。此外,安全团队大约耗费25%的时间用于修复漏洞,即使这些漏洞的风险在当前情况下可能被高估或甚至无法被利用。


  • 在软件开发生命周期(SLDC)中采用安全检查方式的差异性 —— 当涉及到决定在软件开发生命周期中的哪个阶段采取应用安全测试时,行业内存在明显分歧,这突显了同时进行左移和右移的重要性。42%的开发人员表示,最好在编写代码过程中执行安全扫描,而41%的开发人员认为最好在新软件包从开源软件(OSS)库引入企业之前执行扫描。


  • 安全工具的过度使用现象仍在持续 —— 近半数IT专业人士(47%)表示他们部署了四到九种应用安全解决方案。然而,有三分之一的调查对象和安全专业人士(33%)表示,他们正在使用十种乃至更多的应用安全解决方案。这一现象反映出市场对于安全工具整合的需求趋势,同时也表明人们正逐渐放弃单一的点对点解决方案,转而寻求综合性更高的安全工具集成。


  • AI / ML工具在安全领域的应用不成比例 —— 尽管有90%的受访者表示,他们的企业目前以某种形式使用AI / ML驱动的工具来协助安全扫描和修复工作,但只有三分之一的专业人士(32%)表示他们的组织使用AI / ML工具来编写代码。这反映出业内大多数人对AI生成的代码可能会为企业软件带来的潜在安全隐患仍持审慎态度。


JFrog安全研究高级总监Shachar Menashe表示:“虽然安全漏洞的数量每年都在增加,但这并不意味着其严重性也在同步上升。显然,IT团队愿意投资于新工具以提升安全性,但了解如何部署这些工具、如何有效利用团队时间以及简化流程,对于确保软件开发生命周期(SDLC)的安全至关重要。我们编制这份报告的目的不仅仅在于分析趋势,更是为了当技术业务领导者在针对AI导航、恶意代码或安全解决方案等方面制定决策时,能够为其提供清晰的指导和专业的技术咨询。”


文章来源于:电子工程世界    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>