20 июля 2023 г. — JFrog , компания по производству программного обеспечения для потоковой передачи и создатель платформы цепочки поставок программного обеспечения JFrog, выпустила «Отчет об исследованиях безопасности JFrog за 2023 год», в котором представлен подробный анализ уязвимостей безопасности с открытым исходным кодом, которые оказывают наибольшее влияние на команды DevOps и DevSecOps. Отчет призван предоставить инженерам-разработчикам, инженерам DevOps, исследователям безопасности и руководителям по информационной безопасности своевременную подробную информацию об уязвимостях безопасности, предотвратить риски в цепочке поставок программного обеспечения, помочь практикам более объективно определить приоритет уязвимостей, которые необходимо исправить, устранить и смягчить потенциальное воздействие всех известных уязвимостей программного обеспечения, а также защитить свои продукты и бизнес.
Обслуживая миллионы пользователей и более 7000 клиентов по всему миру, JFrog имеет уникальную возможность получить представление о влиянии нарушений безопасности на программные продукты, которые сегодня используются компаниями из списка Fortune 100 . Являясь назначенным CAN ( CVE Number Authority), группа исследователей безопасности JFrog регулярно отслеживает и исследует новые уязвимости, чтобы понять их истинную серьезность. Основанный на анонимной статистике использования платформы JFrog , в отчете JFrog Security Research Report за 2023 г. представлены наиболее часто обнаруживаемые уязвимости в 2022 г., представлен углубленный анализ десяти основных уязвимостей безопасности в 2022 г. , их «истинной» серьезности, а также предложен лучший способ смягчения потенциального воздействия каждой уязвимости. Десять основных уязвимостей системы безопасности, проанализированных в отчете, выглядят следующим образом: (отсортированы по количеству уязвимых программных продуктов)
- #1 CVE-2022-0563 — Раскрытие данных в util-linux
- № 2 CVE-2022-29458 — отказ в обслуживании в ncurses
- #3 CVE-2022-1304 — Локальное повышение привилегий в e2fsprogs
- #4 + #5 CVE-2022-42003 / CVE-2022-42004 Отказ в обслуживании в Jackson-databind
- #6 CVE-2022-3821 — отказ в обслуживании в systemd
- #7 CVE-2022-1471 — Удаленное выполнение кода в SnakeYAML
- #8 +#9+ #10 CVE-2022-41854 / CVE-2022-38751 / CVE-2022-38750 Отказ в обслуживании в SnakeYAML
Подробный анализ каждой уязвимости в отчете, включая сводку ее бизнес-статуса и серьезности, раскрывает новые технические подробности о том, как уязвимость влияет на современные корпоративные системы, помогая специалистам по безопасности лучше оценить, действительно ли они подвержены отдельным уязвимостям. В отчете отмечается, что большинство описанных в нем уязвимостей не так легко использовать, как сообщают общедоступные источники, и, таким образом, не соответствуют высокому уровню серьезности NVD . В большинстве случаев группа исследователей безопасности JFrog оценила серьезность CVE ниже, чем оценка серьезности NVD , что означает, что эти уязвимости часто преувеличены. Дальнейший анализ каждого CVE показывает, что многие CVE требуют сложных сценариев конфигурации или особых условий для успешного проведения атаки. Это демонстрирует важность учета контекста, в котором развертывается и используется программное обеспечение, при оценке влияния CVE .
Во избежание путаницы, вызванной переоценкой уязвимостей, в « Отчете об исследованиях безопасности JFrog за 2023 год » выдвигаются две основные рекомендации по безопасности для разработчиков, инженеров DevOps , исследователей в области безопасности и лидеров информационной безопасности: во-первых , ссылайтесь на другие оценки серьезности; во-вторых, в случае серьезных уязвимостей следует принимать во внимание социальные сети.
Чтобы просмотреть полный отчет, щелкните для подробного анализа уязвимостей безопасности с открытым исходным кодом, которые больше всего влияют на команды DevOps и DevSecOps | JFrog