天天日天天干天天搞_亚洲性色AV无码久久精品色欲_亚洲精品免费在线观看_午夜视频在线免费观看

時(shí)代商業(yè)網(wǎng)
ad2

新報(bào)告認(rèn)為現(xiàn)有CVSS漏洞評(píng)分系統(tǒng)存在不足:忽略實(shí)際情況,去年前10漏洞

來(lái)源:IT之家  時(shí)間:2023-02-16 11:01  編輯:蘇小糖   閱讀量:14896   

,根據(jù)安全機(jī)構(gòu) JFrog 攻擊公布的最新報(bào)告,針對(duì) 2022 年的 CVE 高危漏洞,深入分析了對(duì) DevOps 和 DevSecOps 團(tuán)隊(duì)影響最大的開(kāi)源安全漏洞。

報(bào)告中指出在 2022 年報(bào)告的前 10 個(gè) CVE 漏洞中,有 6 個(gè)漏洞的危險(xiǎn)性被高估了。這意味著它們?cè)?NVD 評(píng)級(jí)中的得分高于 JFrog 自己的分析。此外,企業(yè)中最常出現(xiàn)的 CVE 是根本無(wú)法解決的低嚴(yán)重性問(wèn)題。

報(bào)告中指出企業(yè)修復(fù)一個(gè)安全問(wèn)題大約需要 246 天,而且大多數(shù)組織的資源有限,能夠正確識(shí)別最嚴(yán)重的漏洞并確定緩解措施的優(yōu)先級(jí)對(duì)于企業(yè)來(lái)說(shuō)至關(guān)重要。

JFrog 的分析基于來(lái)自 JFrog Artifactory 的真實(shí)匿名數(shù)據(jù),該公司的軟件存儲(chǔ)庫(kù)被全球 7000 多家客戶用于安全管理軟件供應(yīng)鏈中的工件、二進(jìn)制文件和其他項(xiàng)目。這些匿名數(shù)據(jù)提供了領(lǐng)先公司在現(xiàn)實(shí)世界中使用情況的視圖,揭示了最有可能影響全球軟件公司的問(wèn)題。

JFrog 安全研究高級(jí)主管 Shachar Menashe 認(rèn)為:

當(dāng)前的 CVSS 系統(tǒng)存在缺陷,漏洞評(píng)分在發(fā)布前總是無(wú)法得到真正驗(yàn)證。本報(bào)告中詳述的大多數(shù)漏洞比報(bào)告的更難利用,因此不值得獲得高 NVD 嚴(yán)重性評(píng)級(jí)。

漏洞應(yīng)該通過(guò)現(xiàn)實(shí)世界的影響和實(shí)際情境分析來(lái)評(píng)估,CVE 在您的網(wǎng)站中的可利用程度如何影響本地環(huán)境?

當(dāng) CNA 分配具有新聞價(jià)值但毫無(wú)根據(jù)的高危急程度時(shí),這是不合理的,這會(huì)導(dǎo)致組織浪費(fèi)寶貴的時(shí)間和資源來(lái)緩解極不可能對(duì)其系統(tǒng)產(chǎn)生任何實(shí)際影響的漏洞。

感興趣的IT之家網(wǎng)友,可以前往這里獲取完整報(bào)告。

鄭重聲明:此文內(nèi)容為本網(wǎng)站轉(zhuǎn)載企業(yè)宣傳資訊,目的在于傳播更多信息,與本站立場(chǎng)無(wú)關(guān)。僅供讀者參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。