Laporan terbaru dari JFrog melihat kerentanan paling umum di tahun 2022 dengan analisis mendalam tentang kerentanan keamanan sumber terbuka yang berdampak paling besar bagi tim DevOps dan DevSecOps.
Laporan tersebut menunjukkan bahwa tingkat keparahan enam dari 10 CVE teratas dilebih-lebihkan, yang berarti skor mereka lebih tinggi dalam peringkat NVD daripada dalam analisis JFrog sendiri. Selain itu, CVE yang paling sering muncul di perusahaan adalah masalah dengan tingkat keparahan rendah yang tidak pernah diperbaiki.
Dari 50 CVE umum teratas yang ditemukan di Artifactory, 64 persen dilebih-lebihkan, 26 persen sama, dan 10 persen diremehkan.
Dibutuhkan sekitar 246 hari untuk memulihkan masalah keamanan dan sebagian besar organisasi memiliki sumber daya yang terbatas, sehingga kemampuan untuk mengidentifikasi dan memprioritaskan mitigasi kerentanan yang paling parah dengan benar sangatlah penting.
Analisis JFrog didasarkan pada dunia nyata, data anonim dari JFrog Artifactory, gudang perangkat lunak perusahaan yang digunakan oleh lebih dari 7.000 pelanggan global untuk mengelola artefak, binari, dan item lain dengan aman dalam rantai pasokan perangkat lunak. Data yang dianonimkan ini memberikan pandangan tentang penggunaan di dunia nyata oleh perusahaan terkemuka, mengungkap masalah yang paling mungkin memengaruhi perusahaan perangkat lunak di seluruh dunia.
“Sistem CVSS saat ini cacat karena skor kerentanan tidak selalu benar-benar diverifikasi sebelum dipublikasikan,” kata Shachar Menashe, direktur senior, penelitian keamanan di JFrog. “Sebagian besar kerentanan yang dirinci dalam laporan ini lebih sulit untuk dieksploitasi daripada yang dilaporkan, sehingga tidak layak mendapatkan peringkat keparahan NVD yang tinggi. Kerentanan harus dinilai dengan dampak dunia nyata serta analisis kontekstual -seberapa dapat dieksploitasi CVE di lingkungan lokal? Tidak masuk akal ketika CNA memberikan kekritisan tinggi yang layak diberitakan tetapi tidak berdasar, menyebabkan organisasi membuang waktu dan sumber daya yang berharga untuk mengurangi kerentanan yang sangat tidak mungkin berdampak pada dunia nyata pada sistem mereka.”
Anda dapat mengetahui lebih lanjut di situs JFrog.
Kredit gambar: nicescene/depositphotos.com
