x射线漏洞扫描如何避免假阳性| JFrog - 2022年世界杯赛程时间表

你可能知道这个故事，“一个男孩喊道‘狼来了!’”在这个古老的寓言中，村民们厌倦了牧羊人的虚假警报，不再关注它们。

这是给软件安全团队上的一课，而不仅仅是给学生上的。对那些被证明是不堪一击或虚假的威胁提出担忧，会削弱你的部门之间的信任，甚至会削弱客户对你的信任。

这对于驱动你的DevSecOps以及持续的安全努力。了解您的应用程序的开源组件可能的风险是必要的，但是您需要相信您的自动化组件报告的问题漏洞扫描代表真实的问题，而不是虚幻的问题。

积极安全规则

在JFrog，我们的目标是帮助您加快发布到生产的速度。所以任何能消耗团队宝贵时间的事情都会引起我们的注意。假阳性(不存在的问题报告)是开发人员和安全团队的负担。每一个漏洞报告都需要工程师花时间来审查和调查。假阳性意味着宝贵的时间被浪费了，它们会累积成浪费的时间。

为什么会出现假阳性?有时软件组件的标识不正确。其他时候，扫描算法可能过于粗糙，无法识别组件的修正版本。或者漏洞数据库可能不准确、已废弃或过时。

即使扫描正确地识别了漏洞包的使用情况，它是否真的值得您注意?缺点是很多的;你可能希望只被提醒那些真正的高风险，如最近披露SpringShell脆弱性．环境也很重要:如果一个脆弱的功能从未使用过，或者通过配置设置减轻了它，那么它就不是威胁。

这就是为什么JFrog和我们的顶级安全研究小组持续改进工作x射线的分析和报告．以下是x射线帮助你把宝贵的时间集中在重要的事情上的一些方法。

观看“Xray的新功能”网络研讨会

看现在

行业脆弱性数据的基础是国家漏洞数据库通用漏洞和暴露(CVEs)的目录，由供应商和研究人员发布的公开披露的安全建议。

你知道吗?

JFrog被授权为CVE编号机构，并与全球安全界合作，加快威胁检测。自成立以来，JFrog安全研究团队已经在开源存储库中识别和验证了400多个零日漏洞和300多个开源恶意包威胁。

Xray用来自JFrog安全研究专家的额外指标和信息补充了CVE数据。当x射线报告检测到CVEs时，那些具有丰富jfrog数据的研究团队图标(）.

的漏洞度量通用漏洞评分系统(CVSS)有助于识别每个CVE的威胁严重性。然而，在许多情况下，这种通过固定权重计算的得分对于理解漏洞的实际风险来说可能不是一种足够的方法。

Xray用一个额外的JFrog安全级别排名补充了它的CVE数据。由JFrog的专有指标确定的排名是由我们的安全研究团队对现实世界中被利用的机会进行深入分析的结果。

JFrog安全级别为漏洞提供了丰富的威胁排名，另外还考虑到:

每一个JFrog安全严重性评分都附有研究团队的评分原因列表，这样您就可以充分了解我们的评估。

公共数据库中的每个CVE都包含一些关于漏洞的详细信息和建议的补救方法(例如，使用包的新版本)。每一份威胁报告中都有x射线信息。

JFrog客户还可以访问许多cve的丰富细节，提供更深入的技术概述。这使安全团队能够更好地理解每个漏洞的风险，并优先考虑其补救措施。

这些来自JFrog安全研究的细节包括有用的信息，如确定允许利用的具体先决条件和提供详细的缓解技术解决方案。

错误并不总是错误。有时候，这只是一个机会。

同样，应用程序中的漏洞包并不总是意味着您交付的软件容易受到攻击。你的应用可能永远不会使用导致问题的功能;你可能加入了一个补丁;你的编译标志可能已经中和了它;该漏洞可能与您的配置无关。

环境很重要。这就是为什么x射线扫描你的二进制文件和图像智能，考虑上下文。Xray远远超出了针对CVE列表的依赖关系的简单匹配，它执行全面分析，检查环境以确定CVE是否适用。

Xray独特的上下文威胁分析可以帮助您确定最关键的安全漏洞，以便您可以相应地确定优先级并立即解决它们。同样重要的是，它有助于屏蔽大多数其他软件组件分析工具产生的噪音，使安全团队专注于真正的威胁，而不是兔子洞。

一旦您确定了一个真正的威胁，JFrog就会提供建议，告诉您如何使用新版本(如果有可用的版本)来补救易受攻击的依赖项，或者如何通过代码或配置修复来减轻该漏洞。

在近17.4万例cve中(仅2021年报告的cve就超过2万例)，近三分之一的分数为高或危急．但正如我们所见，并非每一个弱点都一定是真正的威胁。

Xray的深度分析和丰富的威胁数据节省时间的好处无疑是真实存在的。通过JFrog的安全研究，您可以根据威胁的可能性和上下文适当地筛选、评估和减轻威胁，从而使您的团队有更多的时间专注于那些真正危险的漏洞。

JFrog的深度扫描、分析和专业知识可以帮助您更好地管理您的软件群，同时将威胁您业务的真正的狼挡在海湾。