《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > JFrog發(fā)布《2023年JFrog安全研究報告》

JFrog發(fā)布《2023年JFrog安全研究報告》

2023-07-24
來源:JFrog

  2023年7月20日 —— 流式軟件公司、JFrog軟件供應鏈平臺締造者JFrog發(fā)布《2023 年JFrog安全研究報告》,深入分析對DevOps和DevSecOps團隊影響最大的開源安全漏洞,。該報告旨在為開發(fā)工程師,、DevOps工程師、安全研究人員和信息安全負責人及時提供關于安全漏洞的深入洞察,,防范軟件供應鏈風險,,幫助從業(yè)人員更客觀地決定待修復漏洞的優(yōu)先級,消除和緩解所有已知軟件漏洞的潛在影響,,為其產(chǎn)品和業(yè)務保駕護航,。

  JFrog 服務全球數(shù)百萬用戶和7,000多名客戶,擁有獨特優(yōu)勢,,能夠洞察安全漏洞對當今財富100強企業(yè)實際在用軟件制品的影響,。作為指定的CAN(CVE 編號授權機構),JFrog安全研究團隊定期監(jiān)控和調查新漏洞,,了解其真實的嚴重程度,。《2023年JFrog安全研究報告》基于來自JFrog Platform的匿名使用統(tǒng)計數(shù)據(jù),,對2022年最常檢測到的漏洞進行采樣,,深入分析2022年十大安全漏洞、它們的“真實”嚴重程度,,提供緩解每種漏洞潛在影響的最佳方法,。報告分析的十大安全漏洞具體如下:(根據(jù)受其影響的軟件制品數(shù)量從高到低進行排序)

  ·#1 CVE-2022-0563 - util-linux中的數(shù)據(jù)泄露

  ·#2 CVE-2022-29458 - ncurses中的拒絕服務

  ·#3 CVE-2022-1304 - e2fsprogs中的本地提權

  ·#4 + #5 CVE-2022-42003 / CVE-2022-42004 Jackson-databind中的拒絕服務

  ·#6 CVE-2022-3821 - systemd中的拒絕服務

  ·#7 CVE-2022-1471 - SnakeYAML中的遠程代碼執(zhí)行

  ·#8 +#9+ #10 CVE-2022-41854 / CVE-2022-38751 / CVE-2022-38750 SnakeYAML中的拒絕服務

  該報告對每個漏洞進行深入分析,包括其商業(yè)狀態(tài)和嚴重程度的摘要,,揭示相關漏洞影響當今企業(yè)系統(tǒng)的新的技術細節(jié),,有助于安全團隊更好地評估他們是否真正受到各個漏洞的影響。報告指出其描述的大多數(shù)漏洞并不像公開來源報道的那樣容易被利用,,因此和其NVD的高嚴重程度等級是不匹配的,。在大多數(shù)情況下,JFrog安全研究團隊對CVE嚴重程度的評估結果低于NVD嚴重程度評級,,這意味著這些漏洞通常被過度夸大,。對每個CVE的進一步分析顯示,許多CVE需要復雜的配置場景或特定的條件才能成功地實施攻擊,。這表明,,在評估CVE的影響時,考慮部署和使用軟件的上下文環(huán)境的重要性。

  為避免漏洞被高估所導致的混亂,,《2023年JFrog安全研究報告》為開發(fā)人員,、DevOps工程師、安全研究人員和信息安全負責人提出兩大安全建議,;一,、參考其他的嚴重程度評分;二,、對于嚴重漏洞,,應將社交媒體納入考量。



更多精彩內容歡迎點擊==>>電子技術應用-AET<<

mmexport1621241704608.jpg

本站內容除特別聲明的原創(chuàng)文章之外,,轉載內容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章,、圖片,、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者,。如涉及作品內容,、版權和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。