深入分析对DevOps和DevSecOps团队影响最大的开源安全漏洞
2023年JFrog安全研究报告
执行概要
本报告旨在为开发人员、DevOps工程师、安全研究人员和信息安全领导者提供及时、相关的关于安全漏洞的见解,旨在为他们的软件供应链注入风险。本文提供的信息将帮助您做出更明智的决定,如何优先考虑补救工作,以解决和减轻所有已知软件漏洞的潜在影响,以确保您的产品和服务是安全的。hth华体会最新官方网站
JFrog处于一个独特的位置,可以详细描述安全漏洞对当今财富100强公司中实际使用的软件构件的影响。因此,JFrog安全研究团队编制了JFrog年度关键漏洞暴露(CVEs)报告的第一版,深入分析了2022年最普遍的10个漏洞,它们的“真实”严重程度,以及减轻每个漏洞潜在影响的最佳实践。本文中包含的漏洞根据它们影响的软件工件的数量从高到低进行排序。
方法
作为指定的CNAJFrog安全研究JFrog团队定期监控和调查新的漏洞,以了解它们的真实严重程度,并发布这些信息,以造福社区和所有JFrog客户。本报告基于JFrog平台的匿名使用统计数据,对2022年最常检测到的漏洞进行了采样。
每个漏洞都包括商业状态和问题严重性的摘要,以及对每个漏洞的深入分析,这些分析揭示了关于其对当今企业系统影响的几个新的技术细节。这将使安全团队能够更好地评估他们是否确实受到每个问题的影响。本分析构建了JFrog安全研究对2022年最常见的10个cve的严重程度评级,概述了从每个cve中吸取的显著教训,并提供指导,以帮助提高您在2023年的安全状况。
除了每个深入的CVE评估,本报告还提供了前几年影响相同软件组件的CVE总数的趋势分析,以帮助推断哪些软件组件在2023年可能仍然脆弱。
内容
查看完整报告术语表
本文档中使用了以下术语。
| CVE | 常见漏洞和暴露。对漏洞进行分类的术语表,由NVD(美国政府标准存储库)管理。在本报告中用于表示“一个公开的已知漏洞,由其唯一ID,如cve - 2022 - 3602” | ||||||||||||
| CVSS | 通用漏洞评分系统。每个CVE的漏洞严重程度评分范围从0到10(最严重)。得分反映了漏洞被利用的难度,以及一旦被利用会造成多大的损害。该分数旨在帮助用户确定哪些漏洞是需要修复的关键。 | ||||||||||||
| 中央社 | CVE编号机构。由CVE计划授权的组,可以为漏洞分配CVE id,并在自己的特定覆盖范围内发布CVE记录。 | ||||||||||||
| NVD严重性 | 任何CVE的国家漏洞数据库(NVD)严重等级,由其CVSS根据以下范围正式定义-
|
||||||||||||
| JFrog严重性 | CVE的严重程度,由JFrog的安全研究团队定义。级别分为低、中、高、严重 | ||||||||||||
| 影响工件 | JFrog的Artifactory Cloud中存在的工件数量,已被发现易受特定CVE攻击。基于来自JFrog Artifactory Cloud的匿名使用统计。 |
作者传记
我们专门的安全工程师和研究人员团队致力于通过发现、分析和暴露新的漏洞和攻击方法来提高软件安全性。
与JFrog安全研究保持最新。在我们的JFrog安全研究团队中跟踪最新的发现和技术更新安全研究博客文章并在推特上@JFrogSecurity.
Shachar选用一些
Shachar Menashe是JFrog安全研究公司的高级主管。拥有超过17年的安全研究经验,包括低级研发、逆向工程和漏洞研究,Shachar负责领导研究团队发现和分析新出现的安全漏洞和恶意软件包。他于2021年6月通过收购Vdoo加入JFrog,担任安全副总裁。Shachar拥有特拉维夫大学电子工程和计算机科学学士学位。
Mizrahi实验后
Yair Mizrahi是JFrog Security的高级漏洞研究员。Mizrahi有十多年的经验,擅长漏洞研究和逆向工程。他负责发现和分析新出现的安全漏洞。此外,Mizrahi还发现了各种零日漏洞,并作为Android漏洞研究员利用了多次零点击。
