2023年7月20日 —— 流式軟件公司、JFrog軟件供應鏈平臺締造者JFrog發布《2023 年JFrog安全研究報告》，深入分析對DevOps和DevSecOps團隊影響最大的開源安全漏洞。該報告旨在為開發工程師、DevOps工程師、安全研究人員和信息安全負責人及時提供關于安全漏洞的深入洞察，防范軟件供應鏈風險，幫助從業人員更客觀地決定待修復漏洞的優先級，消除和緩解所有已知軟件漏洞的潛在影響，為其產品和業務保駕護航。

　　JFrog 服務全球數百萬用戶和7,000多名客戶，擁有獨特優勢，能夠洞察安全漏洞對當今財富100強企業實際在用軟件制品的影響。作為指定的CAN（CVE 編號授權機構），JFrog安全研究團隊定期監控和調查新漏洞，了解其真實的嚴重程度。《2023年JFrog安全研究報告》基于來自JFrog Platform的匿名使用統計數據，對2022年最常檢測到的漏洞進行采樣，深入分析2022年十大安全漏洞、它們的“真實”嚴重程度，提供緩解每種漏洞潛在影響的最佳方法。報告分析的十大安全漏洞具體如下：（根據受其影響的軟件制品數量從高到低進行排序）

　　·#1 CVE-2022-0563 - util-linux中的數據泄露

　　·#2 CVE-2022-29458 - ncurses中的拒絕服務

　　·#3 CVE-2022-1304 - e2fsprogs中的本地提權

　　·#4 + #5 CVE-2022-42003 / CVE-2022-42004 Jackson-databind中的拒絕服務

　　·#6 CVE-2022-3821 - systemd中的拒絕服務

　　·#7 CVE-2022-1471 - SnakeYAML中的遠程代碼執行

　　·#8 +#9+ #10 CVE-2022-41854 / CVE-2022-38751 / CVE-2022-38750 SnakeYAML中的拒絕服務

　　該報告對每個漏洞進行深入分析，包括其商業狀態和嚴重程度的摘要，揭示相關漏洞影響當今企業系統的新的技術細節，有助于安全團隊更好地評估他們是否真正受到各個漏洞的影響。報告指出其描述的大多數漏洞并不像公開來源報道的那樣容易被利用，因此和其NVD的高嚴重程度等級是不匹配的。在大多數情況下，JFrog安全研究團隊對CVE嚴重程度的評估結果低于NVD嚴重程度評級，這意味著這些漏洞通常被過度夸大。對每個CVE的進一步分析顯示，許多CVE需要復雜的配置場景或特定的條件才能成功地實施攻擊。這表明，在評估CVE的影響時，考慮部署和使用軟件的上下文環境的重要性。

　　為避免漏洞被高估所導致的混亂，《2023年JFrog安全研究報告》為開發人員、DevOps工程師、安全研究人員和信息安全負責人提出兩大安全建議；一、參考其他的嚴重程度評分；二、對于嚴重漏洞，應將社交媒體納入考量。

更多精彩內容歡迎點擊==>>電子技術應用-AET<<