近日,JFrog釋出了其 《2024年全球軟體供應鏈發展報告》的調查結果,指出了新興的發展趨勢、行業風險以及保障企業軟體供應鏈安全的最佳實踐案例。
74%被列為“高”或“嚴重”的CVSS評級在大多數常見情況下並分歧用,但有60%的安全和開發團隊仍花費25%的時間修復這些漏洞
JFrog首席技術官兼聯合創始人Yoav Landman表示:“軟體安全領域變幻莫測,全球的DevSecOps團隊都在探索前行,在AI迅速普及的時代,更需要創新來滿足需求。我們的資料涵蓋了迅速發展的軟體生態系統,為安全和開發組織提供了一個更為全面的介紹,包括值得關注的CVE評級錯誤、使用生成式AI進行編碼所帶來的安全影響相關洞察、允許組織用於開發的高風險軟體包等資訊,以便相關人員做出更明智的決議計劃。”
研究結果亮點
JFrog的《2024年全球軟體供應鏈發展報告》結合了超過7000家企業的JFrog Artifactory開發者使用資料、JFrog安全研究團隊原創的CVE分析、以及委託第三方對全球1200名技術專業人士進行的調查資料,旨在為快速發展的軟體供應鏈領域提供資訊參考。主要研究結果包括:
· 並非所有CVE都如表面所見:傳統的CVSS評級僅關注漏洞利用的嚴重性,而非其被利用的可能性,後者需要結合具體情境才能做出有效的評估。JFrog安全研究團隊在分析了2023年發現的212個高知名度CVE後,平均將85%的“嚴重”CVE和73%的“高危”CVE的重要性評級下調。此外,JFrog發現,在報告的前100個Docker Hub社群映象中,74%的CVSS評級為“高危”和“嚴重”的常見CVE實際上是無法被利用的。
· 拒絕服務(DoS)攻擊盛行:JFrog安全研究團隊分析的212個高知名度CVE中,有44%存在發起DoS攻擊的潛在威脅;17%存在執行遠端程式碼(RCE)的潛在威脅。這對於安全組織來說是個好訊息,因為RCE由於能夠提供對後端系統的完全訪問許可權,與DoS攻擊相比,其危害性更大。
· 安全問題會影響工作效率:40%的受訪者表示,通常需要一週或更長時間才能獲得使用新軟體包/庫的批准,這延長了新應用程式和軟體更新的上市時間。此外,安全團隊大約耗費25%的時間用於修復漏洞,即使這些漏洞的風險在當前情況下可能被高估或甚至無法被利用。
· 在軟體開發生命週期(SLDC)中採用安全檢查方式的差異性 —— 當涉及到決定在軟體開發生命週期中的哪個階段採取應用安全測試時,行業記憶體在明顯分歧,這突顯了同時進行左移和右移的重要性。42%的開發人員表示,最好在編寫程式碼過程中執行安全掃描,而41%的開發人員認為最好在新軟體包從開源軟體(OSS)庫引入企業之前執行掃描。
· 安全工具的過度使用現象仍在持續 —— 近半數IT專業人士(47%)表示他們部署了四到九種應用安全解決方案。然而,有三分之一的調查物件和安全專業人士(33%)表示,他們正在使用十種乃至更多的應用安全解決方案。這一現象反映出市場對於安全工具整合的需求趨勢,同時也表明人們正逐漸放棄單一的點對點解決方案,轉而尋求綜合性更高的安全工具整合。
· AI / ML工具在安全領域的應用不成比例 —— 儘管有90%的受訪者表示,他們的企業目前以某種形式使用AI / ML驅動的工具來協助安全掃描和修復工作,但只有三分之一的專業人士(32%)表示他們的組織使用AI / ML工具來編寫程式碼。這反映出業內大多數人對AI生成的程式碼可能會為企業軟體帶來的潛在安全隱患仍持審慎態度。
JFrog安全研究高階總監Shachar Menashe表示:“雖然安全漏洞的數量每年都在增加,但這並不意味著其嚴重性也在同步上升。顯然,IT團隊願意投資於新工具以提升安全性,但瞭解如何部署這些工具、如何有效利用團隊時間以及簡化流程,對於確保軟體開發生命週期(SDLC)的安全至關重要。我們編制這份報告的目的不僅僅在於分析趨勢,更是為了當技術業務領導者在針對AI導航、惡意程式碼或安全解決方案等方面制定決議計劃時,能夠為其提供清晰的指導和專業的技術諮詢。”
(8734447)
近日,JFrog釋出了其 《2024年全球軟體供應鏈發展報告》的調查結果,指出了新興的發展趨勢、行業風險以及保障企業軟體供應鏈安全的最佳實踐案例。
74%被列為“高”或“嚴重”的CVSS評級在大多數常見情況下並分歧用,但有60%的安全和開發團隊仍花費25%的時間修復這些漏洞
JFrog首席技術官兼聯合創始人Yoav Landman表示:“軟體安全領域變幻莫測,全球的DevSecOps團隊都在探索前行,在AI迅速普及的時代,更需要創新來滿足需求。我們的資料涵蓋了迅速發展的軟體生態系統,為安全和開發組織提供了一個更為全面的介紹,包括值得關注的CVE評級錯誤、使用生成式AI進行編碼所帶來的安全影響相關洞察、允許組織用於開發的高風險軟體包等資訊,以便相關人員做出更明智的決議計劃。”
研究結果亮點
JFrog的《2024年全球軟體供應鏈發展報告》結合了超過7000家企業的JFrog Artifactory開發者使用資料、JFrog安全研究團隊原創的CVE分析、以及委託第三方對全球1200名技術專業人士進行的調查資料,旨在為快速發展的軟體供應鏈領域提供資訊參考。主要研究結果包括:
· 並非所有CVE都如表面所見:傳統的CVSS評級僅關注漏洞利用的嚴重性,而非其被利用的可能性,後者需要結合具體情境才能做出有效的評估。JFrog安全研究團隊在分析了2023年發現的212個高知名度CVE後,平均將85%的“嚴重”CVE和73%的“高危”CVE的重要性評級下調。此外,JFrog發現,在報告的前100個Docker Hub社群映象中,74%的CVSS評級為“高危”和“嚴重”的常見CVE實際上是無法被利用的。
· 拒絕服務(DoS)攻擊盛行:JFrog安全研究團隊分析的212個高知名度CVE中,有44%存在發起DoS攻擊的潛在威脅;17%存在執行遠端程式碼(RCE)的潛在威脅。這對於安全組織來說是個好訊息,因為RCE由於能夠提供對後端系統的完全訪問許可權,與DoS攻擊相比,其危害性更大。
· 安全問題會影響工作效率:40%的受訪者表示,通常需要一週或更長時間才能獲得使用新軟體包/庫的批准,這延長了新應用程式和軟體更新的上市時間。此外,安全團隊大約耗費25%的時間用於修復漏洞,即使這些漏洞的風險在當前情況下可能被高估或甚至無法被利用。
· 在軟體開發生命週期(SLDC)中採用安全檢查方式的差異性 —— 當涉及到決定在軟體開發生命週期中的哪個階段採取應用安全測試時,行業記憶體在明顯分歧,這突顯了同時進行左移和右移的重要性。42%的開發人員表示,最好在編寫程式碼過程中執行安全掃描,而41%的開發人員認為最好在新軟體包從開源軟體(OSS)庫引入企業之前執行掃描。
· 安全工具的過度使用現象仍在持續 —— 近半數IT專業人士(47%)表示他們部署了四到九種應用安全解決方案。然而,有三分之一的調查物件和安全專業人士(33%)表示,他們正在使用十種乃至更多的應用安全解決方案。這一現象反映出市場對於安全工具整合的需求趨勢,同時也表明人們正逐漸放棄單一的點對點解決方案,轉而尋求綜合性更高的安全工具整合。
· AI / ML工具在安全領域的應用不成比例 —— 儘管有90%的受訪者表示,他們的企業目前以某種形式使用AI / ML驅動的工具來協助安全掃描和修復工作,但只有三分之一的專業人士(32%)表示他們的組織使用AI / ML工具來編寫程式碼。這反映出業內大多數人對AI生成的程式碼可能會為企業軟體帶來的潛在安全隱患仍持審慎態度。
JFrog安全研究高階總監Shachar Menashe表示:“雖然安全漏洞的數量每年都在增加,但這並不意味著其嚴重性也在同步上升。顯然,IT團隊願意投資於新工具以提升安全性,但瞭解如何部署這些工具、如何有效利用團隊時間以及簡化流程,對於確保軟體開發生命週期(SDLC)的安全至關重要。我們編制這份報告的目的不僅僅在於分析趨勢,更是為了當技術業務領導者在針對AI導航、惡意程式碼或安全解決方案等方面制定決議計劃時,能夠為其提供清晰的指導和專業的技術諮詢。”
(8734447)
近日,JFrog釋出了其 《2024年全球軟體供應鏈發展報告》的調查結果,指出了新興的發展趨勢、行業風險以及保障企業軟體供應鏈安全的最佳實踐案例。
74%被列為“高”或“嚴重”的CVSS評級在大多數常見情況下並分歧用,但有60%的安全和開發團隊仍花費25%的時間修復這些漏洞
JFrog首席技術官兼聯合創始人Yoav Landman表示:“軟體安全領域變幻莫測,全球的DevSecOps團隊都在探索前行,在AI迅速普及的時代,更需要創新來滿足需求。我們的資料涵蓋了迅速發展的軟體生態系統,為安全和開發組織提供了一個更為全面的介紹,包括值得關注的CVE評級錯誤、使用生成式AI進行編碼所帶來的安全影響相關洞察、允許組織用於開發的高風險軟體包等資訊,以便相關人員做出更明智的決議計劃。”
研究結果亮點
JFrog的《2024年全球軟體供應鏈發展報告》結合了超過7000家企業的JFrog Artifactory開發者使用資料、JFrog安全研究團隊原創的CVE分析、以及委託第三方對全球1200名技術專業人士進行的調查資料,旨在為快速發展的軟體供應鏈領域提供資訊參考。主要研究結果包括:
· 並非所有CVE都如表面所見:傳統的CVSS評級僅關注漏洞利用的嚴重性,而非其被利用的可能性,後者需要結合具體情境才能做出有效的評估。JFrog安全研究團隊在分析了2023年發現的212個高知名度CVE後,平均將85%的“嚴重”CVE和73%的“高危”CVE的重要性評級下調。此外,JFrog發現,在報告的前100個Docker Hub社群映象中,74%的CVSS評級為“高危”和“嚴重”的常見CVE實際上是無法被利用的。
· 拒絕服務(DoS)攻擊盛行:JFrog安全研究團隊分析的212個高知名度CVE中,有44%存在發起DoS攻擊的潛在威脅;17%存在執行遠端程式碼(RCE)的潛在威脅。這對於安全組織來說是個好訊息,因為RCE由於能夠提供對後端系統的完全訪問許可權,與DoS攻擊相比,其危害性更大。
· 安全問題會影響工作效率:40%的受訪者表示,通常需要一週或更長時間才能獲得使用新軟體包/庫的批准,這延長了新應用程式和軟體更新的上市時間。此外,安全團隊大約耗費25%的時間用於修復漏洞,即使這些漏洞的風險在當前情況下可能被高估或甚至無法被利用。
· 在軟體開發生命週期(SLDC)中採用安全檢查方式的差異性 —— 當涉及到決定在軟體開發生命週期中的哪個階段採取應用安全測試時,行業記憶體在明顯分歧,這突顯了同時進行左移和右移的重要性。42%的開發人員表示,最好在編寫程式碼過程中執行安全掃描,而41%的開發人員認為最好在新軟體包從開源軟體(OSS)庫引入企業之前執行掃描。
· 安全工具的過度使用現象仍在持續 —— 近半數IT專業人士(47%)表示他們部署了四到九種應用安全解決方案。然而,有三分之一的調查物件和安全專業人士(33%)表示,他們正在使用十種乃至更多的應用安全解決方案。這一現象反映出市場對於安全工具整合的需求趨勢,同時也表明人們正逐漸放棄單一的點對點解決方案,轉而尋求綜合性更高的安全工具整合。
· AI / ML工具在安全領域的應用不成比例 —— 儘管有90%的受訪者表示,他們的企業目前以某種形式使用AI / ML驅動的工具來協助安全掃描和修復工作,但只有三分之一的專業人士(32%)表示他們的組織使用AI / ML工具來編寫程式碼。這反映出業內大多數人對AI生成的程式碼可能會為企業軟體帶來的潛在安全隱患仍持審慎態度。
JFrog安全研究高階總監Shachar Menashe表示:“雖然安全漏洞的數量每年都在增加,但這並不意味著其嚴重性也在同步上升。顯然,IT團隊願意投資於新工具以提升安全性,但瞭解如何部署這些工具、如何有效利用團隊時間以及簡化流程,對於確保軟體開發生命週期(SDLC)的安全至關重要。我們編制這份報告的目的不僅僅在於分析趨勢,更是為了當技術業務領導者在針對AI導航、惡意程式碼或安全解決方案等方面制定決議計劃時,能夠為其提供清晰的指導和專業的技術諮詢。”
(8734447)
近日,JFrog釋出了其 《2024年全球軟體供應鏈發展報告》的調查結果,指出了新興的發展趨勢、行業風險以及保障企業軟體供應鏈安全的最佳實踐案例。
74%被列為“高”或“嚴重”的CVSS評級在大多數常見情況下並分歧用,但有60%的安全和開發團隊仍花費25%的時間修復這些漏洞
JFrog首席技術官兼聯合創始人Yoav Landman表示:“軟體安全領域變幻莫測,全球的DevSecOps團隊都在探索前行,在AI迅速普及的時代,更需要創新來滿足需求。我們的資料涵蓋了迅速發展的軟體生態系統,為安全和開發組織提供了一個更為全面的介紹,包括值得關注的CVE評級錯誤、使用生成式AI進行編碼所帶來的安全影響相關洞察、允許組織用於開發的高風險軟體包等資訊,以便相關人員做出更明智的決議計劃。”
研究結果亮點
JFrog的《2024年全球軟體供應鏈發展報告》結合了超過7000家企業的JFrog Artifactory開發者使用資料、JFrog安全研究團隊原創的CVE分析、以及委託第三方對全球1200名技術專業人士進行的調查資料,旨在為快速發展的軟體供應鏈領域提供資訊參考。主要研究結果包括:
· 並非所有CVE都如表面所見:傳統的CVSS評級僅關注漏洞利用的嚴重性,而非其被利用的可能性,後者需要結合具體情境才能做出有效的評估。JFrog安全研究團隊在分析了2023年發現的212個高知名度CVE後,平均將85%的“嚴重”CVE和73%的“高危”CVE的重要性評級下調。此外,JFrog發現,在報告的前100個Docker Hub社群映象中,74%的CVSS評級為“高危”和“嚴重”的常見CVE實際上是無法被利用的。
· 拒絕服務(DoS)攻擊盛行:JFrog安全研究團隊分析的212個高知名度CVE中,有44%存在發起DoS攻擊的潛在威脅;17%存在執行遠端程式碼(RCE)的潛在威脅。這對於安全組織來說是個好訊息,因為RCE由於能夠提供對後端系統的完全訪問許可權,與DoS攻擊相比,其危害性更大。
· 安全問題會影響工作效率:40%的受訪者表示,通常需要一週或更長時間才能獲得使用新軟體包/庫的批准,這延長了新應用程式和軟體更新的上市時間。此外,安全團隊大約耗費25%的時間用於修復漏洞,即使這些漏洞的風險在當前情況下可能被高估或甚至無法被利用。
· 在軟體開發生命週期(SLDC)中採用安全檢查方式的差異性 —— 當涉及到決定在軟體開發生命週期中的哪個階段採取應用安全測試時,行業記憶體在明顯分歧,這突顯了同時進行左移和右移的重要性。42%的開發人員表示,最好在編寫程式碼過程中執行安全掃描,而41%的開發人員認為最好在新軟體包從開源軟體(OSS)庫引入企業之前執行掃描。
· 安全工具的過度使用現象仍在持續 —— 近半數IT專業人士(47%)表示他們部署了四到九種應用安全解決方案。然而,有三分之一的調查物件和安全專業人士(33%)表示,他們正在使用十種乃至更多的應用安全解決方案。這一現象反映出市場對於安全工具整合的需求趨勢,同時也表明人們正逐漸放棄單一的點對點解決方案,轉而尋求綜合性更高的安全工具整合。
· AI / ML工具在安全領域的應用不成比例 —— 儘管有90%的受訪者表示,他們的企業目前以某種形式使用AI / ML驅動的工具來協助安全掃描和修復工作,但只有三分之一的專業人士(32%)表示他們的組織使用AI / ML工具來編寫程式碼。這反映出業內大多數人對AI生成的程式碼可能會為企業軟體帶來的潛在安全隱患仍持審慎態度。
JFrog安全研究高階總監Shachar Menashe表示:“雖然安全漏洞的數量每年都在增加,但這並不意味著其嚴重性也在同步上升。顯然,IT團隊願意投資於新工具以提升安全性,但瞭解如何部署這些工具、如何有效利用團隊時間以及簡化流程,對於確保軟體開發生命週期(SDLC)的安全至關重要。我們編制這份報告的目的不僅僅在於分析趨勢,更是為了當技術業務領導者在針對AI導航、惡意程式碼或安全解決方案等方面制定決議計劃時,能夠為其提供清晰的指導和專業的技術諮詢。”
(8734447)
近日,JFrog釋出了其 《2024年全球軟體供應鏈發展報告》的調查結果,指出了新興的發展趨勢、行業風險以及保障企業軟體供應鏈安全的最佳實踐案例。
74%被列為“高”或“嚴重”的CVSS評級在大多數常見情況下並分歧用,但有60%的安全和開發團隊仍花費25%的時間修復這些漏洞
JFrog首席技術官兼聯合創始人Yoav Landman表示:“軟體安全領域變幻莫測,全球的DevSecOps團隊都在探索前行,在AI迅速普及的時代,更需要創新來滿足需求。我們的資料涵蓋了迅速發展的軟體生態系統,為安全和開發組織提供了一個更為全面的介紹,包括值得關注的CVE評級錯誤、使用生成式AI進行編碼所帶來的安全影響相關洞察、允許組織用於開發的高風險軟體包等資訊,以便相關人員做出更明智的決議計劃。”
研究結果亮點
JFrog的《2024年全球軟體供應鏈發展報告》結合了超過7000家企業的JFrog Artifactory開發者使用資料、JFrog安全研究團隊原創的CVE分析、以及委託第三方對全球1200名技術專業人士進行的調查資料,旨在為快速發展的軟體供應鏈領域提供資訊參考。主要研究結果包括:
· 並非所有CVE都如表面所見:傳統的CVSS評級僅關注漏洞利用的嚴重性,而非其被利用的可能性,後者需要結合具體情境才能做出有效的評估。JFrog安全研究團隊在分析了2023年發現的212個高知名度CVE後,平均將85%的“嚴重”CVE和73%的“高危”CVE的重要性評級下調。此外,JFrog發現,在報告的前100個Docker Hub社群映象中,74%的CVSS評級為“高危”和“嚴重”的常見CVE實際上是無法被利用的。
· 拒絕服務(DoS)攻擊盛行:JFrog安全研究團隊分析的212個高知名度CVE中,有44%存在發起DoS攻擊的潛在威脅;17%存在執行遠端程式碼(RCE)的潛在威脅。這對於安全組織來說是個好訊息,因為RCE由於能夠提供對後端系統的完全訪問許可權,與DoS攻擊相比,其危害性更大。
· 安全問題會影響工作效率:40%的受訪者表示,通常需要一週或更長時間才能獲得使用新軟體包/庫的批准,這延長了新應用程式和軟體更新的上市時間。此外,安全團隊大約耗費25%的時間用於修復漏洞,即使這些漏洞的風險在當前情況下可能被高估或甚至無法被利用。
· 在軟體開發生命週期(SLDC)中採用安全檢查方式的差異性 —— 當涉及到決定在軟體開發生命週期中的哪個階段採取應用安全測試時,行業記憶體在明顯分歧,這突顯了同時進行左移和右移的重要性。42%的開發人員表示,最好在編寫程式碼過程中執行安全掃描,而41%的開發人員認為最好在新軟體包從開源軟體(OSS)庫引入企業之前執行掃描。
· 安全工具的過度使用現象仍在持續 —— 近半數IT專業人士(47%)表示他們部署了四到九種應用安全解決方案。然而,有三分之一的調查物件和安全專業人士(33%)表示,他們正在使用十種乃至更多的應用安全解決方案。這一現象反映出市場對於安全工具整合的需求趨勢,同時也表明人們正逐漸放棄單一的點對點解決方案,轉而尋求綜合性更高的安全工具整合。
· AI / ML工具在安全領域的應用不成比例 —— 儘管有90%的受訪者表示,他們的企業目前以某種形式使用AI / ML驅動的工具來協助安全掃描和修復工作,但只有三分之一的專業人士(32%)表示他們的組織使用AI / ML工具來編寫程式碼。這反映出業內大多數人對AI生成的程式碼可能會為企業軟體帶來的潛在安全隱患仍持審慎態度。
JFrog安全研究高階總監Shachar Menashe表示:“雖然安全漏洞的數量每年都在增加,但這並不意味著其嚴重性也在同步上升。顯然,IT團隊願意投資於新工具以提升安全性,但瞭解如何部署這些工具、如何有效利用團隊時間以及簡化流程,對於確保軟體開發生命週期(SDLC)的安全至關重要。我們編制這份報告的目的不僅僅在於分析趨勢,更是為了當技術業務領導者在針對AI導航、惡意程式碼或安全解決方案等方面制定決議計劃時,能夠為其提供清晰的指導和專業的技術諮詢。”
(8734447)
