新报告认为现有CVSS漏洞评分系统存在不足:忽略实际情况,去年前10漏洞

2023-02-16 11:01 来源:IT之家   阅读量:4506   

,根据安全机构 JFrog 攻击公布的最新报告,针对 2022 年的 CVE 高危漏洞,深入分析了对 DevOps 和 DevSecOps 团队影响最大的开源安全漏洞。

报告中指出在 2022 年报告的前 10 个 CVE 漏洞中,有 6 个漏洞的危险性被高估了。这意味着它们在 NVD 评级中的得分高于 JFrog 自己的分析。此外,企业中最常出现的 CVE 是根本无法解决的低严重性问题。

报告中指出企业修复一个安全问题大约需要 246 天,而且大多数组织的资源有限,能够正确识别最严重的漏洞并确定缓解措施的优先级对于企业来说至关重要。

JFrog 的分析基于来自 JFrog Artifactory 的真实匿名数据,该公司的软件存储库被全球 7000 多家客户用于安全管理软件供应链中的工件、二进制文件和其他项目。这些匿名数据提供了领先公司在现实世界中使用情况的视图,揭示了最有可能影响全球软件公司的问题。

JFrog 安全研究高级主管 Shachar Menashe 认为:

当前的 CVSS 系统存在缺陷,漏洞评分在发布前总是无法得到真正验证。本报告中详述的大多数漏洞比报告的更难利用,因此不值得获得高 NVD 严重性评级。

漏洞应该通过现实世界的影响和实际情境分析来评估,CVE 在您的网站中的可利用程度如何影响本地环境?

当 CNA 分配具有新闻价值但毫无根据的高危急程度时,这是不合理的,这会导致组织浪费宝贵的时间和资源来缓解极不可能对其系统产生任何实际影响的漏洞。

感兴趣的IT之家网友,可以前往这里获取完整报告。

郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。

热门

一键全自动换电——泰州市首家蔚来第三代换电站在兴化戴南上线
一键全自动换电——泰州市首家蔚来第三代换电站

一辆新能源汽车稳稳地停到蔚来充换电一体站的停车平台上,汽车下部的换电装置自动开启,卸下用完电的电池,换上充足电的...更多>

azg集团多维度赋能品牌,助力打造可持续产业生态
azg集团多维度赋能品牌,助力打造可持续产业

日前,由azg集团与Bubs贝儿联合举办的“Bubs贝儿纯净营养,守护新队友”五一特别场线下亲子活动圆满结束,门...更多>

喜报!中诚信托荣获深交所优秀债券投资交易机构奖项
喜报!中诚信托荣获深交所优秀债券投资交易机构

2月27日,深圳证券交易所组织召开2022年度债券监管发展业务座谈会,并表彰在服务国家重点战略、推进债券市场高质...更多>

银保监会就保险保障基金管理办法公开征求意见
银保监会就保险保障基金管理办法公开征求意见

为促进保险业稳健经营和高质量发展,更好发挥保险保障基金的积极作用,维护保单持有人合法权益,银保监会商有关部门对2...更多>

人民银行:指导银行将个人信贷延期还款政策落到实处
人民银行:指导银行将个人信贷延期还款政策落到

2022年第一季度金融统计数据新闻发布会现场。人民网黄盛摄人民网北京4月14日电(黄盛)今日,中国人民银行(以下...更多>

聚焦

发放消费券、举办消费节、推动线上线下消费融合,近期一批促消费措施密集推出—— 为消费升温积聚合力
ChatGPT引爆“人工智能+”,AI赋能手
ChatGPT的爆火搅动人工智能一池春水,引发全行业对人工智...更多>
盖建飞:不断提高专业素养、助力客户实现目标
天风证券总裁助理、董事总经理盖建飞拥有着多年投资银行行业的工...更多>
时隔两年再出手恒瑞新药出海透露什么信号?
专家认为,恒瑞医药将在创新药研发和出海领域持续发力,或将迎来...更多>
福龙马:比亚迪、宁德时代均为公司新能源环卫装
中国财富通2月15日-福龙马在互动平台上表示,公司作为我国专...更多>
舍利子制作方法居然也有发明专利网友:得道高僧
舍利子,意为骨身或遗骨。相传为释迦牟尼佛遗体火化后结成的珠状...更多>
午评:沪指跌0.32%创业板指跌0.5%,C
今日A股三大指数开盘涨跌不一,盘初一小时市场震荡走弱,创业板...更多>
今年ChinaJoy将于7月28~31日在上
感谢IT之家网友航空先生的线索投递! ,作为当今全球数字娱...更多>
消息称Xperia1V和Xperia5V将率
,根据多家媒体报道,索尼下一代Xperia旗舰手机将成为业内...更多>
农机企业开足马力忙生产智慧农机迎换道超车机遇
眼下,春耕春播进入关键时期,农业机械行业正在加足马力组织生产...更多>
厦门港务1.17亿股2月16日解禁,摩根大通
日前,厦门港务发布公告称,其1.17亿股非公开发行限售股将于...更多>