x射线漏洞扫描如何避免误报| JFrog - 2022年世界杯赛程时间表

你可能知道“一个男孩喊‘狼来了!在这个古老的寓言故事中，村民们厌倦了牧羊人的假警报，不再关注他们。

这对软件安全团队来说是一个教训，而不仅仅是学生。对那些被证明是脆弱或虚假的威胁提出担忧，会削弱你的部门之间的信任，甚至会削弱客户对你的信任。

这对于驱动你的DevSecOps以及持续的安全努力。了解应用程序的开源组件可能存在的风险是必要的，但您需要相信您的自动化组件所报告的问题漏洞扫描代表真实的问题，而不是虚幻的问题。

积极安全规则

在JFrog，我们的目标是帮助您加快发布到生产的速度。所以任何能消耗你团队宝贵时间的事情都会引起我们的注意。假阳性(报告不存在的问题)是开发人员和安全团队的负担。每一份漏洞报告都需要工程师花时间来审查和调查。假阳性意味着宝贵的时间被浪费了，加起来就是浪费了几个小时。

为什么会出现假阳性?有时会错误地识别软件组件。其他时候，扫描算法可能过于粗糙，无法识别组件的校正版本。或者漏洞数据库可能不准确、已弃用或过时。

即使扫描正确地识别了易受攻击包的使用情况，它真的值得您关注吗?缺点很多;你可能希望只警惕那些真正的高风险，比如最近披露的SpringShell脆弱性．上下文也很重要:如果一个易受攻击的功能从未使用过，或者通过配置设置减轻了它，那么它就不是威胁。

这就是为什么JFrog和我们是一流的安全研究小组努力不断改进x射线的分析和报告．以下是x射线帮助你把宝贵的时间集中在重要的事情上的一些方法。

观看“x射线新功能”网络研讨会

立即观看

行业漏洞数据的基础是国家漏洞数据库常见漏洞和暴露(CVEs)，由供应商和研究人员发布的公开披露的安全建议目录。

你知道吗?

JFrog是CVE的授权编号机构，并与全球安全界合作，加快威胁检测。自成立以来，JFrog安全研究团队已经在开源存储库中识别和验证了400多个零日漏洞和300多个开源恶意包威胁。

Xray用来自JFrog安全研究专家的额外指标和信息补充了其CVE数据。当x射线报告检测到cve时，那些具有jfrog丰富数据的研究团队图标(）.

的漏洞度量常见漏洞评分系统(CVSS)帮助识别每个CVE的威胁严重程度。然而，在许多情况下，这种从固定权重计算出来的分数可能不足以理解漏洞的实际风险。

x射线补充了它的大部分CVE数据与额外的JFrog安全严重性排名。由JFrog专有指标确定的排名是我们的安全研究团队对现实世界被利用的机会进行深入分析的结果。

JFrog安全严重性为漏洞提供了丰富的威胁排名，另外考虑:

每个JFrog安全严重性评分都附有研究团队分配评分的原因列表，以便您充分了解我们的评估。

公共数据库中的每个CVE都包含有关漏洞的一些详细信息和建议的补救方法(例如，使用更新版本的包)。该信息可在x射线与每一个威胁报告。

JFrog客户还可以获得许多cve的丰富细节，提供更深入的技术概述。这使安全团队能够更好地了解每个漏洞的风险，并优先考虑其补救措施。

这些来自JFrog安全研究的细节包括有用的信息，例如确定允许利用的特定先决条件，并提供详细的技术解决方案来缓解。

错误并不总是错误。有时候，这只是一个机会。

同样地，应用程序中的易受攻击的包并不总是意味着您交付的软件容易受到攻击。你的应用程序可能永远不会使用导致问题的函数;你可能已经加入了一个补丁;你的编译标志可能已经中和了它;该漏洞可能与您的配置无关。

环境很重要。这就是为什么x射线扫描你的二进制文件和图像智能，考虑上下文。Xray远远超出了对CVE列表的依赖项进行简单匹配的范围，它执行整体分析，检查环境以确定是否应用CVE。

Xray独特的上下文威胁分析可帮助您确定最关键的安全漏洞，以便您可以相应地优先级并立即解决它们。同样重要的是，它有助于筛选出大多数其他软件组件分析工具产生的噪音，使安全团队专注于真正的威胁，而不是兔子洞。

一旦你发现了一个真正的威胁，JFrog就会提供建议，告诉你如何用一个新版本(如果有的话)来补救易受攻击的依赖关系，或者通过代码或配置修复来减轻漏洞。

在近17.4万名cve中(仅2021年报告的cve就超过2万)，近三分之一的分数为高或危急．但正如我们所看到的，并不是每个漏洞都一定是真正的威胁。

Xray的深度分析和丰富的威胁数据节省时间的好处无疑是真实的。通过JFrog的安全研究，可以根据威胁的可能性和上下文适当地筛选、评估和减轻威胁，从而使您的团队有更多的时间专注于那些真正危险的漏洞。

JFrog的深度扫描、分析和专业知识可以帮助您更好地管理您的软件群，同时将威胁您业务的真正的狼挡在海湾。