2023년 7월 20일 - 스트리밍 소프트웨어 회사이자 JFrog 소프트웨어 공급망 플랫폼 의 제작자 인 JFrog 는 DevOps 및 DevSecOps 팀에 가장 큰 영향을 미치는 오픈 소스 보안 취약성 에 대한 심층 분석을 제공하는 "2023 JFrog 보안 연구 보고서"를 발표했습니다. 이 보고서는 개발 엔지니어, DevOps 엔지니어, 보안 연구원 및 정보 보안 리더에게 적시에 보안 취약성에 대한 심층적인 통찰력을 제공하고, 소프트웨어 공급망의 위험을 방지하고, 실무자가 수정해야 할 취약성의 우선 순위를 보다 객관적으로 결정하도록 돕고, 알려진 모든 소프트웨어 취약성의 잠재적 영향을 제거 및 완화하고, 제품과 비즈니스를 보호하는 것을 목표로 합니다.
전 세계적으로 수백만 명의 사용자와 7,000 명 이상의 고객에게 서비스를 제공하는 JFrog 는 오늘날 Fortune 100대 기업 에서 실제로 사용 중인 소프트웨어 제품에 대한 보안 침해의 영향에 대한 통찰력을 얻을 수 있는 독보적인 위치에 있습니다 . 지정된 CAN ( CVE 번호 기관) 인 JFrog 보안 연구팀은 새로운 취약점을 정기적으로 모니터링하고 조사하여 실제 심각도를 이해합니다. JFrog 플랫폼 의 익명 사용 통계를 기반으로 하는 2023 JFrog 보안 연구 보고서는 2022 년에 가장 일반적으로 탐지된 취약점을 샘플링하고 2022년 상위 10개 보안 취약점에 대한 심층 분석과 "진정한" 심각도를 제공하며 각 취약점의 잠재적 영향을 완화하는 최선의 방법을 제공합니다. 보고서에서 분석된 상위 10개 보안 취약점은 다음과 같습니다. (영향을 받는 소프트웨어 제품의 수에 따라 높은 수준에서 낮은 수준으로 정렬)
- #1 CVE-2022-0563 - util-linux의 데이터 공개
- #2 CVE-2022-29458 - ncurses의 서비스 거부
- #3 CVE-2022-1304 - e2fsprogs의 로컬 권한 에스컬레이션
- #4 + #5 CVE-2022-42003 / CVE-2022-42004 Jackson-databind의 서비스 거부
- #6 CVE-2022-3821 - systemd의 서비스 거부
- #7 CVE-2022-1471 - SnakeYAML에서 원격 코드 실행
- #8 +#9+ #10 CVE-2022-41854 / CVE-2022-38751 / CVE-2022-38750 SnakeYAML의 서비스 거부
비즈니스 상태 및 심각도 요약을 포함하여 각 취약점에 대한 보고서의 심층 분석은 취약점이 오늘날의 엔터프라이즈 시스템에 미치는 영향에 대한 새로운 기술적 세부 정보를 보여줌으로써 보안 팀이 실제로 개별 취약점의 영향을 받는지 더 잘 평가할 수 있도록 합니다. 이 보고서는 설명하는 대부분의 취약점이 공개 소스에서 보고된 것처럼 쉽게 악용될 수 없으므로 NVD 의 높은 심각도 등급과 일치하지 않는다고 지적합니다 . 대부분의 경우 JFrog 보안 연구 팀은 CVE 의 심각도를 NVD 심각도 등급보다 낮게 평가했는데, 이는 이러한 취약점이 종종 과장되었음을 의미합니다. 각 CVE 에 대한 추가 분석은 많은 CVE가 공격을 성공적으로 수행하기 위해 복잡한 구성 시나리오 또는 특정 조건을 필요로 한다는 것을 보여줍니다. 이것은 CVE 의 영향을 평가할 때 소프트웨어가 배포되고 사용되는 상황을 고려하는 것이 중요함을 보여줍니다.
취약점의 과대 평가로 인한 혼란을 피하기 위해 " 2023 JFrog 보안 연구 보고서"는 개발자, DevOps 엔지니어, 보안 연구원 및 정보 보안 리더 를 위한 두 가지 주요 보안 권장 사항을 제시합니다 .
전체 보고서를 보려면 클릭하여 DevOps 및 DevSecOps 팀에 가장 큰 영향을 미치는 오픈 소스 보안 취약점에 대한 심층 분석 | JFrog