74%被列為“高”或“嚴(yán)重”的CVSS評(píng)級(jí)在大多數(shù)常見(jiàn)情況下并不適用,但有60%的安全和開(kāi)發(fā)團(tuán)隊(duì)仍花費(fèi)25%的時(shí)間修復(fù)這些漏洞
2024年5月21日——流式軟件公司、JFrog軟件供應(yīng)鏈平臺(tái)的締造者JFrog(納斯達(dá)克股票代碼:FROG)近日發(fā)布了其《2024年全球軟件供應(yīng)鏈發(fā)展報(bào)告》的調(diào)查結(jié)果,指出了新興的發(fā)展趨勢(shì)、行業(yè)風(fēng)險(xiǎn)以及保障企業(yè)軟件供應(yīng)鏈安全的最佳實(shí)踐案例。
JFrog首席技術(shù)官兼聯(lián)合創(chuàng)始人Yoav Landman表示:“軟件安全領(lǐng)域變幻莫測(cè),全球的DevSecOps團(tuán)隊(duì)都在探索前行,在AI迅速普及的時(shí)代,更需要?jiǎng)?chuàng)新來(lái)滿(mǎn)足需求。我們的數(shù)據(jù)涵蓋了迅速發(fā)展的軟件生態(tài)系統(tǒng),為安全和開(kāi)發(fā)組織提供了一個(gè)更為全面的介紹,包括值得關(guān)注的CVE評(píng)級(jí)錯(cuò)誤、使用生成式AI進(jìn)行編碼所帶來(lái)的安全影響相關(guān)洞察、允許組織用于開(kāi)發(fā)的高風(fēng)險(xiǎn)軟件包等信息,以便相關(guān)人員做出更明智的決策。”
研究結(jié)果亮點(diǎn)
JFrog的《2024年全球軟件供應(yīng)鏈發(fā)展報(bào)告》結(jié)合了超過(guò)7000家企業(yè)的JFrog Artifactory開(kāi)發(fā)者使用數(shù)據(jù)、JFrog安全研究團(tuán)隊(duì)原創(chuàng)的CVE分析、以及委托第三方對(duì)全球1200名技術(shù)專(zhuān)業(yè)人士進(jìn)行的調(diào)查數(shù)據(jù),旨在為快速發(fā)展的軟件供應(yīng)鏈領(lǐng)域提供信息參考。主要研究結(jié)果包括:
●并非所有CVE都如表面所見(jiàn):傳統(tǒng)的CVSS評(píng)級(jí)僅關(guān)注漏洞利用的嚴(yán)重性,而非其被利用的可能性,后者需要結(jié)合具體情境才能做出有效的評(píng)估。JFrog安全研究團(tuán)隊(duì)在分析了2023年發(fā)現(xiàn)的212個(gè)高知名度CVE后,平均將85%的“嚴(yán)重”CVE和73%的“高危”CVE的重要性評(píng)級(jí)下調(diào)。此外,JFrog發(fā)現(xiàn),在報(bào)告的前100個(gè)Docker Hub社區(qū)鏡像中,74%的CVSS評(píng)級(jí)為“高危”和“嚴(yán)重”的常見(jiàn)CVE實(shí)際上是無(wú)法被利用的。
●拒絕服務(wù)(DoS)攻擊盛行:JFrog安全研究團(tuán)隊(duì)分析的212個(gè)高知名度CVE中,有44%存在發(fā)起DoS攻擊的潛在威脅;17%存在執(zhí)行遠(yuǎn)程代碼(RCE)的潛在威脅。這對(duì)于安全組織來(lái)說(shuō)是個(gè)好消息,因?yàn)镽CE由于能夠提供對(duì)后端系統(tǒng)的完全訪問(wèn)權(quán)限,與DoS攻擊相比,其危害性更大。
●安全問(wèn)題會(huì)影響工作效率:40%的受訪者表示,通常需要一周或更長(zhǎng)時(shí)間才能獲得使用新軟件包/庫(kù)的批準(zhǔn),這延長(zhǎng)了新應(yīng)用程序和軟件更新的上市時(shí)間。此外,安全團(tuán)隊(duì)大約耗費(fèi)25%的時(shí)間用于修復(fù)漏洞,即使這些漏洞的風(fēng)險(xiǎn)在當(dāng)前情況下可能被高估或甚至無(wú)法被利用。
●在軟件開(kāi)發(fā)生命周期(SLDC)中采用安全檢查方式的差異性——當(dāng)涉及到?jīng)Q定在軟件開(kāi)發(fā)生命周期中的哪個(gè)階段采取應(yīng)用安全測(cè)試時(shí),行業(yè)內(nèi)存在明顯分歧,這突顯了同時(shí)進(jìn)行左移和右移的重要性。42%的開(kāi)發(fā)人員表示,最好在編寫(xiě)代碼過(guò)程中執(zhí)行安全掃描,而41%的開(kāi)發(fā)人員認(rèn)為最好在新軟件包從開(kāi)源軟件(OSS)庫(kù)引入企業(yè)之前執(zhí)行掃描。
●安全工具的過(guò)度使用現(xiàn)象仍在持續(xù)——近半數(shù)IT專(zhuān)業(yè)人士(47%)表示他們部署了四到九種應(yīng)用安全解決方案。然而,有三分之一的調(diào)查對(duì)象和安全專(zhuān)業(yè)人士(33%)表示,他們正在使用十種乃至更多的應(yīng)用安全解決方案。這一現(xiàn)象反映出市場(chǎng)對(duì)于安全工具整合的需求趨勢(shì),同時(shí)也表明人們正逐漸放棄單一的點(diǎn)對(duì)點(diǎn)解決方案,轉(zhuǎn)而尋求綜合性更高的安全工具集成。
●AI/ML工具在安全領(lǐng)域的應(yīng)用不成比例——盡管有90%的受訪者表示,他們的企業(yè)目前以某種形式使用AI/ML驅(qū)動(dòng)的工具來(lái)協(xié)助安全掃描和修復(fù)工作,但只有三分之一的專(zhuān)業(yè)人士(32%)表示他們的組織使用AI/ML工具來(lái)編寫(xiě)代碼。這反映出業(yè)內(nèi)大多數(shù)人對(duì)AI生成的代碼可能會(huì)為企業(yè)軟件帶來(lái)的潛在安全隱患仍持審慎態(tài)度。
JFrog安全研究高級(jí)總監(jiān)Shachar Menashe表示:“雖然安全漏洞的數(shù)量每年都在增加,但這并不意味著其嚴(yán)重性也在同步上升。顯然,IT團(tuán)隊(duì)愿意投資于新工具以提升安全性,但了解如何部署這些工具、如何有效利用團(tuán)隊(duì)時(shí)間以及簡(jiǎn)化流程,對(duì)于確保軟件開(kāi)發(fā)生命周期(SDLC)的安全至關(guān)重要。我們編制這份報(bào)告的目的不僅僅在于分析趨勢(shì),更是為了當(dāng)技術(shù)業(yè)務(wù)領(lǐng)導(dǎo)者在針對(duì)AI導(dǎo)航、惡意代碼或安全解決方案等方面制定決策時(shí),能夠?yàn)槠涮峁┣逦闹笇?dǎo)和專(zhuān)業(yè)的技術(shù)咨詢(xún)。”
###
關(guān)于JFrog
JFrog Ltd.(納斯達(dá)克股票代碼:FROG)的使命是創(chuàng)造一個(gè)從開(kāi)發(fā)人員到設(shè)備之間暢通無(wú)阻的軟件交付世界。秉承“流式軟件”的理念,JFrog軟件供應(yīng)鏈平臺(tái)是統(tǒng)一的記錄系統(tǒng),幫助企業(yè)快速安全地構(gòu)建、管理和分發(fā)軟件,確保軟件可用、可追溯和防篡改。集成的安全功能還有助于發(fā)現(xiàn)和抵御威脅和漏洞并加以補(bǔ)救。JFrog 的混合、通用、多云平臺(tái)可以作為跨多個(gè)主流云服務(wù)提供商的自托管和SaaS服務(wù)。全球數(shù)百萬(wàn)用戶(hù)和7000多名客戶(hù),包括大多數(shù)財(cái)富100強(qiáng)企業(yè),依靠JFrog解決方案安全地開(kāi)展數(shù)字化轉(zhuǎn)型。一用便知!如欲了解更多信息,請(qǐng)?jiān)L問(wèn)jfrogchina.com或者關(guān)注我們的微信官方賬號(hào):JFrog捷蛙。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )