JFrog发布《2023年JFrog安全研究报告》

深入分析2022年十大安全漏洞，分享最佳方法缓解漏洞潜在影响 

2023年7月20日 —— 流式软件公司、JFrog软件供应链平台缔造者JFrog发布《2023 年JFrog安全研究报告》，深入分析对DevOps和DevSecOps团队影响最大的开源安全漏洞。该报告旨在为开发工程师、DevOps工程师、安全研究人员和信息安全负责人及时提供关于安全漏洞的深入洞察，防范软件供应链风险，帮助从业人员更客观地决定待修复漏洞的优先级，消除和缓解所有已知软件漏洞的潜在影响，为其产品和业务保驾护航。

JFrog 服务全球数百万用户和7,000多名客户，拥有独特优势，能够洞察安全漏洞对当今财富100强企业实际在用软件制品的影响。作为指定的CAN（CVE 编号授权机构），JFrog安全研究团队定期监控和调查新漏洞，了解其真实的严重程度。《2023年JFrog安全研究报告》基于来自JFrog Platform的匿名使用统计数据，对2022年最常检测到的漏洞进行采样，深入分析2022年十大安全漏洞、它们的“真实”严重程度，提供缓解每种漏洞潜在影响的最佳方法。报告分析的十大安全漏洞具体如下：（根据受其影响的软件制品数量从高到低进行排序）

• #1 CVE-2022-0563 - util-linux中的数据泄露
• #2 CVE-2022-29458 - ncurses中的拒绝服务
• #3 CVE-2022-1304 - e2fsprogs中的本地提权
• #4 + #5 CVE-2022-42003 / CVE-2022-42004 Jackson-databind中的拒绝服务
• #6 CVE-2022-3821 - systemd中的拒绝服务
• #7 CVE-2022-1471 - SnakeYAML中的远程代码执行
• #8 +#9+ #10 CVE-2022-41854 / CVE-2022-38751 / CVE-2022-38750 SnakeYAML中的拒绝服务

该报告对每个漏洞进行深入分析，包括其商业状态和严重程度的摘要，揭示相关漏洞影响当今企业系统的新的技术细节，有助于安全团队更好地评估他们是否真正受到各个漏洞的影响。报告指出其描述的大多数漏洞并不像公开来源报道的那样容易被利用，因此和其NVD的高严重程度等级是不匹配的。在大多数情况下，JFrog安全研究团队对CVE严重程度的评估结果低于NVD严重程度评级，这意味着这些漏洞通常被过度夸大。对每个CVE的进一步分析显示，许多CVE需要复杂的配置场景或特定的条件才能成功地实施攻击。这表明，在评估CVE的影响时，考虑部署和使用软件的上下文环境的重要性。

为避免漏洞被高估所导致的混乱，《2023年JFrog安全研究报告》为开发人员、DevOps工程师、安全研究人员和信息安全负责人提出两大安全建议；一、参考其他的严重程度评分；二、对于严重漏洞，应将社交媒体纳入考量。

查看完整报告，请点击https://www.jfrogchina.com/whitepaper/devops-devsecops-security/