21CTO导读:根据 Datadog 的《2024 年 DevSecOps 状况》报告,90% 的 Java 服务至少存在一个或多个严重或更高严重性的漏洞。
根据 Datadog 的《2024 年 DevSecOps 状况》报告指出,90% 的 Java 服务至少存在一个或多个严重或更高严重性的漏洞。
相比之下其它语言,JavaScript 服务的这一比例约为 75%,Python 的比例为 64%,.NET 的比例为 50%。所有语言的平均分是 47%。
该平台还发现,与其他语言相比,Java 服务更有可能被黑客积极利用。55% 的人遇到过这种情况,而其他语言的平均比例只有 7%。
Datadog认为,这可能是由于流行的Java库中存在许多普遍存在的漏洞,例如Tomcat、Spring Framework、Apache Struts、Log4j和ActiveMQ。
Datadog 在报告中这样写道:
“当我们检查这些漏洞通常起源于何处时,这一假设得到了增强。
在Java 中,63% 的高危漏洞源自间接依赖项,即间接与应用程序打包在一起的第三方库。这些漏洞通常更难以识别,因为它们出现的附加库经常在不知不觉中被引入到应用程序中”。
该平台还表示,这提醒开发者在扫描应用程序漏洞时需要考虑完整的依赖关系树,而不仅仅是直接依赖关系。
该报告的第二个重要发现,最大数量的攻击尝试是由对方的自动安全扫描仪完成的,但大多数攻击都是无害的,只是公司试图防御攻击的噪音来源。
自动安全扫描器执行的攻击中只有 0.0065% 实际触发了漏洞。
鉴于这些攻击的普遍性但它们并无过多公害,Datadog 认为这强调了需要一个良好的系统来确定警报的优先级。
报告还称道,去年CVE项目发现了4000多个高危漏洞和1000多个严重漏洞。然而, 2020 年《网络安全杂志》上发表的研究发现,只有 5% 的漏洞被实际黑客利用。
鉴于这些数字,很容易看出为什么从业者对他们面临的大量漏洞感到不知所措,以及为什么他们需要优先级框架来帮助他们专注于重要的事情。”
Datadog 发现,那些努力解决关键漏洞的组织机构已经成功地消除了这些漏洞。在曾经拥有关键 CVE 的组织中,63% 的组织不再拥有任何关键 CVE,30% 的组织的关键漏洞数量减少了一半。
该公司建议组织根据受影响的服务是否公开暴露、漏洞是否在生产中运行或者是否存在可公开利用的漏洞代码来确定漏洞的优先级。
Datadog 写道:“虽然其他漏洞可能仍然存在风险,但只有在问题满足这三个标准后才可能得到解决。”
Datadog 报告中的其他有趣发现包括,轻量级容器镜像可减少漏洞、基础设施即代码的采用率较高、手动云部署仍然广泛、CI/CD 管道中短期凭证的使用率仍然较低。
作者:万能的大雄
参考:
https://academic.oup.com/cybersecurity/article/6/1/tyaa015/5905457?login=false