新報(bào)告認(rèn)為現(xiàn)有 CVSS 漏洞評分系統(tǒng)存在不足：忽略實(shí)際情況，去年前 10 漏洞中有 6 個(gè)被高估

2023-02-14 12:49:40|

來源：IT之家作者：

(相關(guān)資料圖)

IT之家 2 月 14 日消息，根據(jù)安全機(jī)構(gòu) JFrog 攻擊公布的最新報(bào)告，針對 2022 年的 CVE 高危漏洞，深入分析了對 DevOps 和 DevSecOps 團(tuán)隊(duì)影響最大的開源安全漏洞。

報(bào)告中指出在 2022 年報(bào)告的前 10 個(gè) CVE 漏洞中，有 6 個(gè)漏洞的危險(xiǎn)性被高估了。這意味著它們在 NVD 評級中的得分高于 JFrog 自己的分析。此外，企業(yè)中最常出現(xiàn)的 CVE 是根本無法解決的低嚴(yán)重性問題。

報(bào)告中指出企業(yè)修復(fù)一個(gè)安全問題大約需要 246 天，而且大多數(shù)組織的資源有限，能夠正確識別最嚴(yán)重的漏洞并確定緩解措施的優(yōu)先級對于企業(yè)來說至關(guān)重要。

JFrog 的分析基于來自 JFrog Artifactory 的真實(shí)匿名數(shù)據(jù)，該公司的軟件存儲(chǔ)庫被全球 7000 多家客戶用于安全管理軟件供應(yīng)鏈中的工件、二進(jìn)制文件和其他項(xiàng)目。這些匿名數(shù)據(jù)提供了領(lǐng)先公司在現(xiàn)實(shí)世界中使用情況的視圖，揭示了最有可能影響全球軟件公司的問題。

JFrog 安全研究高級主管 Shachar Menashe 認(rèn)為：

當(dāng)前的 CVSS 系統(tǒng)存在缺陷，漏洞評分在發(fā)布前總是無法得到真正驗(yàn)證。本報(bào)告中詳述的大多數(shù)漏洞比報(bào)告的更難利用，因此不值得獲得高 NVD 嚴(yán)重性評級。
漏洞應(yīng)該通過現(xiàn)實(shí)世界的影響和實(shí)際情境分析來評估，CVE 在您的網(wǎng)站中的可利用程度如何影響本地環(huán)境？
當(dāng) CNA 分配具有新聞價(jià)值但毫無根據(jù)的高危急程度時(shí)，這是不合理的，這會(huì)導(dǎo)致組織浪費(fèi)寶貴的時(shí)間和資源來緩解極不可能對其系統(tǒng)產(chǎn)生任何實(shí)際影響的漏洞。

感興趣的IT之家網(wǎng)友，可以前往這里獲取完整報(bào)告。

標(biāo)簽：