評估了軟件漏洞的優先級

WhiteSource，開源的安全和許可證合規性管理，以及領導CYR3CON，該預測基于網絡安全攻擊AI-收集了來自黑客社區，發布的智能協同d今天他們通過黑客的觀點聯合研究了有關安全漏洞優先級的問題。

隨著技術的不斷進步，軟件開發團隊受到越來越多的安全警報的襲擊。這使得幾乎不可能補救每個漏洞，從而使對補救進行適當優先排序的能力變得更加關鍵。

這項研究研究了軟件開發團隊用來對軟件漏洞進行優先級排序的最常用方法，并將這些實踐與從黑客社區(包括暗網和深網)的討論中收集的數據進行了比較。

報告中的主要發現包括：

軟件開發團隊傾向于根據可用數據(例如，漏洞嚴重性評分(CVSS)，補救措施的容易程度和發布日期)確定優先級，但是黑客不會根據這些參數來確定漏洞的目標。

黑客被吸引到特定的漏洞類型(CWE)，包括CWE-20(輸入驗證)，CWE-125(越界讀取)，CWE-79(XSS)和CWE-200(信息泄漏/泄露)。

組織傾向于優先處理“新”漏洞，而黑客在利用漏洞后通常會討論該漏洞超過6個月的時間，甚至更老的漏洞也會在新出現的漏洞或惡意軟件中再次出現在黑客社區的討論中。

WhiteSource首席執行官兼聯合創始人Rami Sass說：“隨著開發團隊面臨越來越多的已公開漏洞，解決所有問題變得不可能，并且團隊必須首先專注于解決最緊迫的問題。” “我們的研究可以幫助組織采用可靠的優先級排序方法，并確保它們不僅從最易訪問的數據中查找，而且可以最好地幫助他們修復可能造成最大影響的安全漏洞，從而節省寶貴的時間。”

Paulo Shakarian表示：“公司經常會使用過時的漏洞優先級方法在不知不覺中接受風險，而本報告揭示了這些方法的弊端。將威脅情報與機器學習相結合可以克服這些弊端，從而突出了流程中以前無法識別的風險。” ，CYR3CON首席執行官兼聯合創始人。“我們的CyRating分數源自我們自己經過同行評審的科學研究，其目的是擴大漏洞分析過程的速度，并迅速闡明黑客對他們將利用的東西的看法。當今，許多頂級團隊都使用CYR3CON來提供他們需要以可擴展的方式進行此分析的知識。”