JFrog全球軟件供應鏈發(fā)展報告指出，大多數被評為“嚴重”的漏洞評級具有誤導性

流式軟件公司、 JFrog軟件供應鏈平臺的締造者JFrog近日發(fā)布了其 《2024年全球軟件供應鏈發(fā)展報告》的調查結果，指出了新興的發(fā)展趨勢、行業(yè)風(fēng)險以及保障企業(yè)軟件供應鏈安全的最佳實(shí)踐案例。

JFrog首席技術(shù)官兼聯(lián)合創(chuàng )始人Yoav Landman表示：“軟件安全領(lǐng)域變幻莫測，全球的 DevSecOps 團隊都在探索前行，在 AI 迅速普及的時(shí)代，更需要創(chuàng )新來(lái)滿(mǎn)足需求。我們的數據涵蓋了迅速發(fā)展的軟件生態(tài)系統，為安全和開(kāi)發(fā)組織提供了一個(gè)更為全面的介紹，包括值得關(guān)注的 CVE 評級錯誤、使用生成式AI進(jìn)行編碼所帶來(lái)的安全影響相關(guān)洞察、允許組織用于開(kāi)發(fā)的高風(fēng)險軟件包等信息，以便相關(guān)人員做出更明智的決策?！?/p>

研究結果亮點(diǎn)

JFrog 的《2024年全球軟件供應鏈發(fā)展報告》結合了超過(guò)7000家企業(yè)的JFrog Artifactory開(kāi)發(fā)者使用數據、JFrog安全研究團隊原創(chuàng )的CVE分析、以及委托第三方對全球1200名技術(shù)專(zhuān)業(yè)人士進(jìn)行的調查數據，旨在為快速發(fā)展的軟件供應鏈領(lǐng)域提供信息參考。主要研究結果包括：

●   并非所有CVE都如表面所見(jiàn)：傳統的CVSS評級僅關(guān)注漏洞利用的嚴重性，而非其被利用的可能性，后者需要結合具體情境才能做出有效的評估。JFrog安全研究團隊在分析了2023年發(fā)現的212個(gè)高知名度CVE后，平均將85%的“嚴重”CVE和73%的“高?！盋VE的重要性評級下調。此外，JFrog發(fā)現，在報告的前100個(gè)Docker Hub社區鏡像中，74%的CVSS評級為“高?！焙汀皣乐亍钡某Ｒ?jiàn)CVE實(shí)際上是無(wú)法被利用的。

●   拒絕服務(wù)（DoS）攻擊盛行：JFrog安全研究團隊分析的212個(gè)高知名度CVE中，有44%存在發(fā)起DoS攻擊的潛在威脅； 17%存在執行遠程代碼（RCE）的潛在威脅。這對于安全組織來(lái)說(shuō)是個(gè)好消息，因為RCE由于能夠提供對后端系統的完全訪(fǎng)問(wèn)權限，與DoS攻擊相比，其危害性更大。

●   安全問(wèn)題會(huì )影響工作效率：40%的受訪(fǎng)者表示，通常需要一周或更長(cháng)時(shí)間才能獲得使用新軟件包/庫的批準，這延長(cháng)了新應用程序和軟件更新的上市時(shí)間。此外，安全團隊大約耗費25%的時(shí)間用于修復漏洞，即使這些漏洞的風(fēng)險在當前情況下可能被高估或甚至無(wú)法被利用。

●   在軟件開(kāi)發(fā)生命周期（SLDC）中采用安全檢查方式的差異性——當涉及到?jīng)Q定在軟件開(kāi)發(fā)生命周期中的哪個(gè)階段采取應用安全測試時(shí)，行業(yè)內存在明顯分歧，這突顯了同時(shí)進(jìn)行左移和右移的重要性。42%的開(kāi)發(fā)人員表示，最好在編寫(xiě)代碼過(guò)程中執行安全掃描，而41%的開(kāi)發(fā)人員認為最好在新軟件包從開(kāi)源軟件（OSS）庫引入企業(yè)之前執行掃描。

●   安全工具的過(guò)度使用現象仍在持續——近半數IT專(zhuān)業(yè)人士（47%）表示他們部署了四到九種應用安全解決方案。然而，有三分之一的調查對象和安全專(zhuān)業(yè)人士（33%）表示，他們正在使用十種乃至更多的應用安全解決方案。這一現象反映出市場(chǎng)對于安全工具整合的需求趨勢，同時(shí)也表明人們正逐漸放棄單一的點(diǎn)對點(diǎn)解決方案，轉而尋求綜合性更高的安全工具集成。

●   AI/ML工具在安全領(lǐng)域的應用不成比例——盡管有90%的受訪(fǎng)者表示，他們的企業(yè)目前以某種形式使用AI / ML驅動(dòng)的工具來(lái)協(xié)助安全掃描和修復工作，但只有三分之一的專(zhuān)業(yè)人士（32%）表示他們的組織使用AI / ML工具來(lái)編寫(xiě)代碼。這反映出業(yè)內大多數人對AI生成的代碼可能會(huì )為企業(yè)軟件帶來(lái)的潛在安全隱患仍持審慎態(tài)度。

JFrog安全研究高級總監Shachar Menashe表示：“雖然安全漏洞的數量每年都在增加，但這并不意味著(zhù)其嚴重性也在同步上升。顯然，IT團隊愿意投資于新工具以提升安全性，但了解如何部署這些工具、如何有效利用團隊時(shí)間以及簡(jiǎn)化流程，對于確保軟件開(kāi)發(fā)生命周期（SDLC）的安全至關(guān)重要。我們編制這份報告的目的不僅僅在于分析趨勢，更是為了當技術(shù)業(yè)務(wù)領(lǐng)導者在針對AI導航、惡意代碼或安全解決方案等方面制定決策時(shí)，能夠為其提供清晰的指導和專(zhuān)業(yè)的技術(shù)咨詢(xún)?！?/p>