JFrog全球软件供应链发展报告:多数被评为“严重”的漏洞评级具有误导性

2024 年 5月 21 日 —— 流式软件公司、 JFrog 软件供应链平台的缔造者JFrog近日发布了其 《2024年全球软件供应链发展报告》的调查结果，指出了新兴的发展趋势、行业风险以及保障企业软件供应链安全的最佳实践案例。

JFrog 首席技术官兼联合创始人 Yoav Landman 表示：“软件安全领域变幻莫测，全球的 DevSecOps 团队都在探索前行，在 AI 迅速普及的时代，更需要创新来满足需求。我们的数据涵盖了迅速发展的软件生态系统，为安全和开发组织提供了一个更为全面的介绍，包括值得关注的 CVE 评级错误、使用生成式AI进行编码所带来的安全影响相关洞察、允许组织用于开发的高风险软件包等信息，以便相关人员做出更明智的决策。”

JFrog 的《2024年全球软件供应链发展报告》结合了超过7000家企业的JFrog Artifactory开发者使用数据、JFrog安全研究团队原创的CVE分析、以及委托第三方对全球1200名技术专业人士进行的调查数据，旨在为快速发展的软件供应链领域提供信息参考。主要研究结果包括：

JFrog安全研究高级总监Shachar Menashe表示：“虽然安全漏洞的数量每年都在增加，但这并不意味着其严重性也在同步上升。显然，IT团队愿意投资于新工具以提升安全性，但了解如何部署这些工具、如何有效利用团队时间以及简化流程，对于确保软件开发生命周期（SDLC）的安全至关重要。我们编制这份报告的目的不仅仅在于分析趋势，更是为了当技术业务领导者在针对AI导航、恶意代码或安全解决方案等方面制定决策时，能够为其提供清晰的指导和专业的技术咨询。”