(相關資料圖)

IT之家 2 月 14 日消息，根據安全機構 JFrog 攻擊公布的最新報告，針對 2022 年的 CVE 高危漏洞，深入分析了對 DevOps 和 DevSecOps 團隊影響最大的開源安全漏洞。

報告中指出在 2022 年報告的前 10 個 CVE 漏洞中，有 6 個漏洞的危險性被高估了。這意味著它們在 NVD 評級中的得分高于 JFrog 自己的分析。此外，企業中最常出現的 CVE 是根本無法解決的低嚴重性問題。

報告中指出企業修復一個安全問題大約需要 246 天，而且大多數組織的資源有限，能夠正確識別最嚴重的漏洞并確定緩解措施的優先級對于企業來說至關重要。

JFrog 的分析基于來自 JFrog Artifactory 的真實匿名數據，該公司的軟件存儲庫被全球 7000 多家客戶用于安全管理軟件供應鏈中的工件、二進制文件和其他項目。這些匿名數據提供了領先公司在現實世界中使用情況的視圖，揭示了最有可能影響全球軟件公司的問題。

JFrog 安全研究高級主管 Shachar Menashe 認為：

當前的 CVSS 系統存在缺陷，漏洞評分在發布前總是無法得到真正驗證。本報告中詳述的大多數漏洞比報告的更難利用，因此不值得獲得高 NVD 嚴重性評級。

漏洞應該通過現實世界的影響和實際情境分析來評估，CVE 在您的網站中的可利用程度如何影響本地環境？

當 CNA 分配具有新聞價值但毫無根據的高危急程度時，這是不合理的，這會導致組織浪費寶貴的時間和資源來緩解極不可能對其系統產生任何實際影響的漏洞。

關鍵詞：