2023年7月20日 —— 流式軟件公司、JFrog軟件供應(yīng)鏈平臺(tái)締造者JFrog發(fā)布《2023 年JFrog安全研究報(bào)告》，深入分析對(duì)DevOps和DevSecOps團(tuán)隊(duì)影響最大的開源安全漏洞。該報(bào)告旨在為開發(fā)工程師、DevOps工程師、安全研究人員和信息安全負(fù)責(zé)人及時(shí)提供關(guān)于安全漏洞的深入洞察，防范軟件供應(yīng)鏈風(fēng)險(xiǎn)，幫助從業(yè)人員更客觀地決定待修復(fù)漏洞的優(yōu)先級(jí)，消除和緩解所有已知軟件漏洞的潛在影響，為其產(chǎn)品和業(yè)務(wù)保駕護(hù)航。

　　JFrog 服務(wù)全球數(shù)百萬用戶和7,000多名客戶，擁有獨(dú)特優(yōu)勢，能夠洞察安全漏洞對(duì)當(dāng)今財(cái)富100強(qiáng)企業(yè)實(shí)際在用軟件制品的影響。作為指定的CAN（CVE 編號(hào)授權(quán)機(jī)構(gòu)），JFrog安全研究團(tuán)隊(duì)定期監(jiān)控和調(diào)查新漏洞，了解其真實(shí)的嚴(yán)重程度?！?023年JFrog安全研究報(bào)告》基于來自JFrog Platform的匿名使用統(tǒng)計(jì)數(shù)據(jù)，對(duì)2022年最常檢測到的漏洞進(jìn)行采樣，深入分析2022年十大安全漏洞、它們的“真實(shí)”嚴(yán)重程度，提供緩解每種漏洞潛在影響的最佳方法。報(bào)告分析的十大安全漏洞具體如下：（根據(jù)受其影響的軟件制品數(shù)量從高到低進(jìn)行排序）

　　·#1 CVE-2022-0563 - util-linux中的數(shù)據(jù)泄露

　　·#2 CVE-2022-29458 - ncurses中的拒絕服務(wù)

　　·#3 CVE-2022-1304 - e2fsprogs中的本地提權(quán)

　　·#4 + #5 CVE-2022-42003 / CVE-2022-42004 Jackson-databind中的拒絕服務(wù)

　　·#6 CVE-2022-3821 - systemd中的拒絕服務(wù)

　　·#7 CVE-2022-1471 - SnakeYAML中的遠(yuǎn)程代碼執(zhí)行

　　·#8 +#9+ #10 CVE-2022-41854 / CVE-2022-38751 / CVE-2022-38750 SnakeYAML中的拒絕服務(wù)

　　該報(bào)告對(duì)每個(gè)漏洞進(jìn)行深入分析，包括其商業(yè)狀態(tài)和嚴(yán)重程度的摘要，揭示相關(guān)漏洞影響當(dāng)今企業(yè)系統(tǒng)的新的技術(shù)細(xì)節(jié)，有助于安全團(tuán)隊(duì)更好地評(píng)估他們是否真正受到各個(gè)漏洞的影響。報(bào)告指出其描述的大多數(shù)漏洞并不像公開來源報(bào)道的那樣容易被利用，因此和其NVD的高嚴(yán)重程度等級(jí)是不匹配的。在大多數(shù)情況下，JFrog安全研究團(tuán)隊(duì)對(duì)CVE嚴(yán)重程度的評(píng)估結(jié)果低于NVD嚴(yán)重程度評(píng)級(jí)，這意味著這些漏洞通常被過度夸大。對(duì)每個(gè)CVE的進(jìn)一步分析顯示，許多CVE需要復(fù)雜的配置場景或特定的條件才能成功地實(shí)施攻擊。這表明，在評(píng)估CVE的影響時(shí)，考慮部署和使用軟件的上下文環(huán)境的重要性。

　　為避免漏洞被高估所導(dǎo)致的混亂，《2023年JFrog安全研究報(bào)告》為開發(fā)人員、DevOps工程師、安全研究人員和信息安全負(fù)責(zé)人提出兩大安全建議；一、參考其他的嚴(yán)重程度評(píng)分；二、對(duì)于嚴(yán)重漏洞，應(yīng)將社交媒體納入考量。

更多精彩內(nèi)容歡迎點(diǎn)擊==>>電子技術(shù)應(yīng)用-AET<<