新报告认为现有 CVSS 漏洞评分系统存在不足：忽略实际情况，去年前 10 漏洞中有 6 个被高估

2 月 14 日消息，根据安全机构 JFrog 攻击公布的最新报告，针对 2022 年的 CVE 高危漏洞，深入分析了对 DevOps 和 DevSecOps 团队影响最大的开源安全漏洞。

报告中指出在 2022 年报告的前 10 个 CVE 漏洞中，有 6 个漏洞的危险性被高估了。这意味着它们在 NVD 评级中的得分高于 JFrog 自己的分析。此外，企业中最常出现的 CVE 是根本无法解决的低严重性问题。

报告中指出企业修复一个安全问题大约需要 246 天，而且大多数组织的资源有限，能够正确识别最严重的漏洞并确定缓解措施的优先级对于企业来说至关重要。

JFrog 的分析基于来自 JFrog Artifactory 的真实匿名数据，该公司的软件存储库被全球 7000 多家客户用于安全管理软件供应链中的工件、二进制文件和其他项目。这些匿名数据提供了领先公司在现实世界中使用情况的视图，揭示了最有可能影响全球软件公司的问题。

JFrog 安全研究高级主管 Shachar Menashe 认为：

当前的 CVSS 系统存在缺陷，漏洞评分在发布前总是无法得到真正验证。本报告中详述的大多数漏洞比报告的更难利用，因此不值得获得高 NVD 严重性评级。

漏洞应该通过现实世界的影响和实际情境分析来评估，CVE 在您的网站中的可利用程度如何影响本地环境？

当 CNA 分配具有新闻价值但毫无根据的高危急程度时，这是不合理的，这会导致组织浪费宝贵的时间和资源来缓解极不可能对其系统产生任何实际影响的漏洞。