Penelitian baru dari Rezilion menemukan bahwa ada tingkat ketidakakuratan dan kebisingan yang tinggi yang diciptakan oleh teknologi pemindaian sumber terbuka dan komersial paling populer di pasar.
Para peneliti memeriksa 20 kontainer populer di DockerHub, menjalankannya secara lokal, dan memindainya menggunakan enam pemindai kerentanan populer yang berbeda di pasar komersial dan sumber terbuka. Dengan mempertimbangkan negatif palsu, pemindai hanya mengembalikan 73 persen dari hasil yang relevan dari semua kerentanan yang seharusnya diidentifikasi, termasuk yang gagal dideteksi oleh pemindai.
“Setiap hari ada banyak pengungkapan kerentanan baru di seluruh ekosistem perangkat lunak, mendorong pengguna akhir untuk mengandalkan pemindai kerentanan untuk mendeteksi apakah kerentanan yang berpotensi dieksploitasi ini ada di lingkungan mereka,” kata Yotam Perkal, direktur penelitian kerentanan dengan Rezilion. “Dengan variabilitas yang terbukti dalam keakuratan alat pemindaian di pasar, perusahaan membayar biaya waktu yang dihabiskan untuk memilah kerentanan yang tidak relevan dan yang terburuk, dalam kasus deteksi negatif palsu, menciptakan titik buta bagi organisasi dan rasa aman yang salah. .”
Rata-rata, dari jumlah total kerentanan yang dilaporkan oleh pemindai, hanya 82 persen yang merupakan hasil yang relevan (diidentifikasi dengan benar), terlepas dari kerentanan yang gagal dilaporkan oleh pemindai (18 persen adalah hasil positif palsu). Lebih dari 450 kerentanan tinggi dan tingkat keparahan kritis salah diidentifikasi di 20 kontainer. Dan rata-rata, dari 20 kontainer yang diperiksa, pemindai gagal menemukan (hasil negatif palsu) lebih dari 16 kerentanan per kontainer.
“Masalah utamanya adalah data kinerja pemindai tidak transparan dan membuat pengguna akhir tanpa visibilitas untuk secara akurat mengevaluasi efektivitas pemindai kerentanan,” lanjut Perkal. “Dengan penelitian ini, kami berkomitmen untuk mendorong industri ke depan dan secara proaktif mendekati masalah ini. Tujuan utama Rezilion adalah untuk memberikan transparansi tentang kinerja pemindai dan meningkatkan kualitas pemindaian kerentanan secara menyeluruh.”
Mengingat hasil ini, penting bagi bisnis untuk memahami kemampuan dan keterbatasan pemindai khusus mereka, dan bahwa mereka tidak mempercayai hasilnya secara membabi buta. Mereka juga harus memeriksa keakuratan keluaran pemindai mereka terhadap tagihan bahan perangkat lunak untuk membantu mencapai visibilitas ke dalam ketergantungan perangkat lunak.
Laporan lengkap tersedia dari situs Rezilion.
Kredit gambar: Andreus/depositphotos.com
