CVE研究和浓缩效益
这个问题
软件工件通常具有非常多的cve,在某些情况下,安全审查已经发现了超过1K个cve,但是处理所有这些cve实际上是不可能的。通常,决定解决哪些cve的常用方法是基于CVSS评分,以及有关安全警告的已发布技术信息。的漏洞所带来的实际风险,这种方法可能非常具有挑战性,而且是一种不充分的方法后原因:
- CVSS评分对CVE造成的实际风险提供了非常有限的见解。
- CVSS评分不包含对真实世界被利用机会的深入分析。
- 插入CVSS公式中的值既不代表常见情况,也不代表成功利用所需的先决条件。
- CVSS公式的固定权重在某些情况下不能反映实际风险。
例如,以一个CVE为例,它是库中非常严重的、易于利用的远程代码执行漏洞(RCE)自由.它可能会有一个非常高的CVSS分数,但只有一个罕见的场景,允许远程访问。它可以是一个在现实世界中没有使用的函数中的漏洞,或者应该满足的罕见条件,比如使用易受攻击的库自由例如在“调试”模式下。
此外,cve在安全咨询中发布的技术信息,有时非常有限。我们很难理解CVE需要满足的这些具体条件,以及修复解决方案,这些解决方案不一定是软件升级,也可能是代码补丁或任何部署或代码缓解。
解决方案
这就是JFrog安全CVE研究和浓缩发挥作用的地方。JFrog安全研究和威胁情报团队不断审查和分析现有的和新的cve,以确定它们是否有可能被现实世界的攻击者利用。在分析的基础上,研究小组制定了JFrog研究的严重性对CVE进行评分,并提供关于CVE适用的具体条件的详细技术信息,以及详细的固定和缓解选项。
JFrog安全研究团队分析的cve由以下标准确定:
- 现有利用的数量(或创建利用的数量是微不足道的)。
- 记录的真实攻击的数量。
- 开采的潜在影响。
- CVSS分数高。
经过深入分析,cve得到了以下方面的充实研究信息:
- 什么是易受攻击的函数,什么被认为是易受攻击的调用,使利用成为可能,并将软件工件置于危险之中?
- 函数被禁用或未编译的情况是什么?
- 哪些配置使漏洞难以被利用?
- 受影响的软件组件及版本。
- 现有补丁可在升级或不升级组件的情况下修复漏洞。
- 部署或开发缓解措施,以减轻或消除风险弱点。
- 如果只有特定的CPU架构可被利用,那么哪种CPU架构与漏洞相关?
你应该如何处理JFrog研究丰富的cve ?
具有最高JFrog安全级别的cve最有可能被现实世界的攻击者使用。这意味着你应该努力尽快修复它们。在修复了这些CVE之后,软件构件被CVE利用的风险就会降低很多。
为了帮助您解决这些问题,JFrog安全团队为您提供了针对cve的详细修复和缓解选项。在某些情况下,有更容易和更困难的方法来解决问题。
例如,可以通过以下几种方式修复Linux内核中的CVE:
- 升级内核,这通常被认为是困难的
- 应用专用补丁,这要容易得多
- 通过几乎微不足道的配置更改来缓解
通过提供所有不同的缓解选项,Xray使您能够在创建缓解计划和选择具有最高投资回报的路径时做出明智的选择。
具有低JFrog安全级别的cve被认为风险较小,因为在现实世界中不太可能利用它们,或者利用的影响很低。查看JFrog研究丰富的CVEs
您可以在Artifactory的“Xray data”页签和“Security and Compliance”下的“Watch Violations”页面中访问CVE数据。
Artifactory:
观察违规行为:
JFrog研究丰富的cve显示在列表中的图标。
单击CVE,右侧面板显示CVE的详细信息。JFrog研究丰富的CVE将包括以下额外的细节:
JFrog研究的严重性
JFrog安全研究团队人工分析后给出的严重程度。
修复
显示该问题的固定版本(如果有的话)或升级和缓解措施等建议。
研究总结
基于JFrog的安全分析,总结了CVE存在的问题。
研究细节
基于JFrog的安全分析,该问题的详细描述提供了对漏洞的更多见解。
JFrog研究严重原因
JFrog研究严重性背后的原因。
REST API支持
下面的REST api支持CVE研究和丰富特性。
新增如下参数:
- JFrog研究的严重性
- 摘要降价文本
- 详细的描述标记文字
- JFrog研究严重崩溃(原因列表)
- 补救措施(缓解方案列表)
