新报告认为现有 CVSS 漏洞评分系统存在不足:忽略实际情况,去年前 10 漏洞中有 6 个被高估

2 月 14 日消息,根据安全机构 JFrog 攻击公布的最新报告,针对 2022 年的 CVE 高危漏洞,深入分析了对 DevOps 和 DevSecOps 团队影响最大的开源安全漏洞。

新报告认为现有 CVSS 漏洞评分系统存在不足:忽略实际情况,去年前 10 漏洞中有 6 个被高估

报告中指出在 2022 年报告的前 10 个 CVE 漏洞中,有 6 个漏洞的危险性被高估了。这意味着它们在 NVD 评级中的得分高于 JFrog 自己的分析。此外,企业中最常出现的 CVE 是根本无法解决的低严重性问题。

报告中指出企业修复一个安全问题大约需要 246 天,而且大多数组织的资源有限,能够正确识别最严重的漏洞并确定缓解措施的优先级对于企业来说至关重要。

JFrog 的分析基于来自 JFrog Artifactory 的真实匿名数据,该公司的软件存储库被全球 7000 多家客户用于安全管理软件供应链中的工件、二进制文件和其他项目。这些匿名数据提供了领先公司在现实世界中使用情况的视图,揭示了最有可能影响全球软件公司的问题。

JFrog 安全研究高级主管 Shachar Menashe 认为:

当前的 CVSS 系统存在缺陷,漏洞评分在发布前总是无法得到真正验证。本报告中详述的大多数漏洞比报告的更难利用,因此不值得获得高 NVD 严重性评级。

漏洞应该通过现实世界的影响和实际情境分析来评估,CVE 在您的网站中的可利用程度如何影响本地环境?

当 CNA 分配具有新闻价值但毫无根据的高危急程度时,这是不合理的,这会导致组织浪费宝贵的时间和资源来缓解极不可能对其系统产生任何实际影响的漏洞。

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

免责声明 1、本站所发布的全部内容源于互联网搬运,(包括源代码、软件、学习资料等)本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的23个小时之内,从您的电脑或手机中彻底删除上述内容。
2、访问本站的用户必须明白,本站对所提供下载的软件和程序代码不拥有任何权利,其版权归该软件和程序代码的合法拥有者所有,如果您喜欢该程序和内容,请支持正版,购买注册,得到更好的正版服务。我们非常重视版权问题,如本站不慎侵犯您的版权请联系我们,我们将及时处理,并撤下相关内容!敬请谅解! 侵删请致信E-mail:messi0808@qq.com
3、如下载的压缩包需要解压密码,若无特殊说明,那么文件的解压密码则为www.77code.com
4、如遇到加密压缩包,请使用WINRAR解压,如遇到无法解压的请联系管理员!

琪琪源码网 资讯动态 新报告认为现有 CVSS 漏洞评分系统存在不足:忽略实际情况,去年前 10 漏洞中有 6 个被高估 https://www.77code.com/zh/zixun/30450.html

相关文章