x射线漏洞扫描如何避免误报 - 2022年世界杯赛程时间表

你可能知道“狼来了!”’”在这个古老的寓言中，村民们厌倦了牧羊人的假警报，不再理会他们。

这对软件安全团队来说是一个教训，而不仅仅是小学生。对那些被证明是站不住脚或虚假的威胁提出担忧，会损害维系你的部门的信任，甚至会损害客户对你的信任。

这对于驱动你的工具也是至关重要的DevSecOps以及持续的安全努力。了解应用程序的开源组件可能存在的风险是必要的，但是您需要相信您的自动化系统所报告的问题漏洞扫描代表真实的问题，而不是虚幻的问题。

积极安全规则

在JFrog，我们的目标是帮助您加快发布到生产环境的速度。所以任何会消耗你们团队有限时间的事情都会引起我们的注意。误报——报告不存在的问题——是开发人员和安全团队的负担。每个漏洞报告都需要工程师花时间进行审查和调查。误报意味着宝贵的时间被浪费了，而这些时间加起来就是浪费了几个小时。

为什么会出现误报?有时会错误地识别软件组件。其他时候，扫描算法可能太粗糙，无法识别组件的更正版本。或者漏洞数据库可能不准确、不推荐或过时。

即使扫描正确识别了易受攻击的软件包的使用，它真的值得你关注吗?缺陷很多;你可能希望只注意那些真正高风险的，比如最近披露的SpringShell脆弱性．上下文也很重要:如果一个易受攻击的功能从未使用过，或者通过配置设置减轻了它，那么它就不是威胁。

这就是为什么JFrog和我们的顶尖安全研究小组努力不断改进x射线的分析和报告．这里有一些x光可以帮助你把宝贵的时间集中在重要的事情上。

观看“x射线新功能”网络研讨会

立即观看

行业漏洞数据的基础是国家漏洞数据库常见漏洞和暴露(cve)，这是由供应商和研究人员发布的公开披露的安全建议目录。

你知道吗?

JFrog被授权为CVE编号机构，并与全球安全社区合作，加速威胁检测。自成立以来，JFrog安全研究团队已经在开源存储库中识别并验证了400多个零日漏洞和300多个开源恶意包威胁。

Xray补充了来自JFrog安全研究专家的额外指标和信息。当x射线报告检测到cve时，具有jfrog丰富数据的cve将被研究团队图标(）.

的漏洞度量通用漏洞评分系统(CVSS)有助于识别每个CVE的威胁严重程度。然而，在许多情况下，从固定权重计算的分数可能不足以理解漏洞的实际风险。

Xray通过额外的JFrog安全级别排名来补充其CVE数据。由JFrog专有指标确定的排名是我们的安全研究团队对现实世界中被利用的可能性进行深入分析的结果。

JFrog安全级别为漏洞提供了丰富的威胁排名，另外考虑:

每个JFrog安全严重性评分都附有研究团队的评分原因列表，以便您全面了解我们的评估。

公共数据库中的每个CVE都包含有关漏洞的一些详细信息以及建议的修复方法(例如，使用更新版本的软件包)。这一信息在每一份威胁报告的x射线中都有。

JFrog客户还可以访问许多cve的丰富细节，这些cve提供了更深入的技术概述。这使安全团队能够更好地了解每个漏洞的风险，并确定修复的优先级。

这些来自JFrog安全研究的细节包括一些有用的信息，例如确定启用攻击的特定先决条件，并提供详细的缓解技术解决方案。

错误并不总是错误。有时这只是一个机会。

同样，应用程序中的易受攻击的包并不总是意味着您交付的软件容易受到攻击。你的应用可能永远不会使用导致问题的函数;你可能已经加入了一个补丁;您的编译标志可能已经消除了它;该漏洞可能与您的配置无关。

环境很重要。这就是为什么x射线会智能地扫描你的二进制文件和图像，并考虑到上下文。Xray远远超出了对CVE列表的依赖关系的简单匹配，并执行了检查环境以确定CVE是否适用的整体分析。

Xray独特的上下文威胁分析可帮助您确定最关键的安全漏洞，以便您可以相应地优先考虑并立即解决它们。同样重要的是，它有助于过滤掉大多数其他软件组件分析工具产生的噪音，使安全团队专注于真正的威胁，而不是兔子洞。

一旦您确定了一个真正的威胁问题，JFrog就会提供建议，告诉您如何使用新版本(如果有的话)修复易受攻击的依赖，或者如何通过代码或配置修复来减轻漏洞。

在近17.4万cve中(仅2021年就报告了2万多家cve)，近三分之一的人得分为高或严重．但正如我们所看到的，并非每个漏洞都必然是真正的威胁。

Xray的深度分析和丰富的威胁数据节省了时间，这无疑是真实存在的。通过JFrog的安全性研究，您可以更好地筛选、评估和适当地减轻威胁的可能性和上下文，从而使您的团队可以腾出时间来关注那些真正危险的漏洞。

JFrog的深度扫描、分析和专业知识可以帮助您更好地照顾您的软件群，同时使威胁您业务的真正的狼处于困境。