新报告认为现有 CVSS 漏洞评分系统存在不足:忽略实际情况,去年前 10 漏洞中有 6 个被高估

2023-02-14 202

2 月 14 日消息,根据安全机构 JFrog 攻击公布的最新报告,针对 2022 年的 CVE 高危漏洞,深入分析了对 DevOps 和 DevSecOps 团队影响最大的开源安全漏洞。

新报告认为现有 CVSS 漏洞评分系统存在不足:忽略实际情况,去年前 10 漏洞中有 6 个被高估

报告中指出在 2022 年报告的前 10 个 CVE 漏洞中,有 6 个漏洞的危险性被高估了。这意味着它们在 NVD 评级中的得分高于 JFrog 自己的分析。此外,企业中最常出现的 CVE 是根本无法解决的低严重性问题。

报告中指出企业修复一个安全问题大约需要 246 天,而且大多数组织的资源有限,能够正确识别最严重的漏洞并确定缓解措施的优先级对于企业来说至关重要。

JFrog 的分析基于来自 JFrog Artifactory 的真实匿名数据,该公司的软件存储库被全球 7000 多家客户用于安全管理软件供应链中的工件、二进制文件和其他项目。这些匿名数据提供了领先公司在现实世界中使用情况的视图,揭示了最有可能影响全球软件公司的问题。

JFrog 安全研究高级主管 Shachar Menashe 认为:

当前的 CVSS 系统存在缺陷,漏洞评分在发布前总是无法得到真正验证。本报告中详述的大多数漏洞比报告的更难利用,因此不值得获得高 NVD 严重性评级。

漏洞应该通过现实世界的影响和实际情境分析来评估,CVE 在您的网站中的可利用程度如何影响本地环境?

当 CNA 分配具有新闻价值但毫无根据的高危急程度时,这是不合理的,这会导致组织浪费宝贵的时间和资源来缓解极不可能对其系统产生任何实际影响的漏洞。

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

下载声明:
1、本站所有源码资源(包括源代码、软件、学习资料等)仅供研究学习以及参考等合法使用,请勿用于商业用途以及违法使用。如本站不慎侵犯您的版权请联系我们,我们将及时处理,并撤下相关内容!
2、访问本站的用户必须明白,本站对所提供下载的软件和程序代码不拥有任何权利,其版权归该软件和程序代码的合法拥有者所有,请用户在下载使用前必须详细阅读并遵守软件作者的“使用许可协议”,本站仅仅是一个学习交流的平台。
3、如下载的压缩包需要解压密码,若无特殊说明,那么文件的解压密码则为:www.xmy7.com
4、小蚂蚁资源网是一个免费且专业提供网站源码、PHP源码、高端模板、游戏源码、网站插件、精品教程等站长资源分享的平台。

小蚂蚁资源网 资讯动态 新报告认为现有 CVSS 漏洞评分系统存在不足:忽略实际情况,去年前 10 漏洞中有 6 个被高估 https://www.xmy7.com/zh/zixun/30450.html

相关文章