導讀:根據 Datadog 的【2024 年 DevSecOps 狀況】報告,90% 的 Java 服務至少存在一個或多個嚴重或更高嚴重性的漏洞。
根據 Datadog 的【2024 年 DevSecOps 狀況】報告指出,90% 的 Java 服務至少存在一個或多個嚴重或更高嚴重性的漏洞。
相比之下其它語言,JavaScript 服務的這一比例約為 75%,Python 的比例為 64%,.NET 的比例為 50%。所有語言的平均分是 47%。
該平台還發現,與其他語言相比,Java 服務更有可能被黑客積極利用。55% 的人遇到過這種情況,而其他語言的平均比例只有 7%。
Datadog認為,這可能是由於流行的Java庫中存在許多普遍存在的漏洞,例如Tomcat、Spring Framework、 Apache Struts 、Log4j和ActiveMQ。
Datadog 在報告中這樣寫道:
「當我們檢查這些漏洞通常起源於何處時,這一假設得到了增強。
在Java 中,63% 的高危漏洞源自間接依賴項,即間接與應用程式打包在一起的第三方庫。這些漏洞通常更難以辨識,因為它們出現的附加庫經常在不知不覺中被引入到應用程式中」。
該平台還表示,這提醒開發者在掃描應用程式漏洞時需要考慮完整的依賴關系樹,而不僅僅是直接依賴關系。
該報告的第二個重要發現,最大數量的攻擊嘗試是由對方的自動安全掃描器完成的,但大多數攻擊都是無害的,只是公司試圖防禦攻擊的噪音來源。
自動安全掃描器執行的攻擊中只有 0.0065% 實際觸發了漏洞。
鑒於這些攻擊的普遍性但它們並無過多公害,Datadog 認為這強調了需要一個良好的系統來確定警報的優先級。
報告還稱道,去年 CVE 計畫發現了4000多個高危漏洞和1000多個嚴重漏洞。然而, 2020 年【網路安全雜誌】上發表的研究發現,只有 5% 的漏洞被實際黑客利用。
鑒於這些數位,很容易看出為什麽從業者對他們面臨的大量漏洞感到不知所措,以及為什麽他們需要優先級框架來幫助他們專註於重要的事情。」
Datadog 發現,那些努力解決關鍵漏洞的組織機構已經成功地消除了這些漏洞。在曾經擁有關鍵 CVE 的組織中,63% 的組織不再擁有任何關鍵 CVE,30% 的組織的關鍵漏洞數量減少了一半。
該公司建議組織根據受影響的服務是否公開暴露、漏洞是否在生產中執行或者是否存在可公開利用的漏洞程式碼來確定漏洞的優先級。
Datadog 寫道:「雖然其他漏洞可能仍然存在風險,但只有在問題滿足這三個標準後才可能得到解決。」
Datadog 報告中的其他有趣發現包括, 輕量級容器 映像可減少漏洞、基礎設施即程式碼的采用率較高、手動雲部署仍然廣泛、CI/CD 管道中短期憑證的使用率仍然較低。
作者:萬能的大雄
參考:
https://academic.oup.com/cybersecurity/article/6/1/tyaa015/5905457?login=false
