Datadog最新发布的"2024年DevSecOps状况"报告显示,Java服务在受Datadog最新发布的"2024年DevSecOps状况"报告显示,Java服务在受到第三方漏洞影响方面最为严重。
报告指出,90%的Java服务存在一个或多个严重或高危漏洞,这些漏洞大多来自第三方库的引入。相比之下,JavaScript的受影响比例约为75%,Python为64%,.NET为50%,而平均数为47%。
更令人担忧的是,Java服务更容易被攻击利用。报告发现,根据CISA公布的已知漏洞利用目录,Java服务受到威胁比例高达55%,而使用其他编程语言构建的服务仅有7%。
特别是,在关注特定漏洞类别时,Java服务的脆弱性尤为明显。例如,23%的Java服务容易受到远程代码执行攻击,影响了42%的组织。Datadog认为,这主要是因为流行的Java库中存在许多普遍的漏洞,如Tomcat、Spring Framework、Apache Struts、Log4j和ActiveMQ。
报告建议开发人员在扫描应用程序漏洞时需考虑依赖关系树的完整性,而非只关注直接依赖关系。另外,了解新的依赖项是否受到良好维护并定期升级自身的依赖项也至关重要。
除此之外,报告还发现:
- 尽管自动安全扫描器发来的攻击尝试数量最多,但其中绝大多数都是无害的。在数千万次扫描中,只有0.0065%的攻击成功触发漏洞。
- 许多组织依然在CI/CD流程中使用长期凭证,尽管短期凭证更为安全和实用。事实上,63%的人至少使用过一次长期凭证来验证GitHub Actions pipelines。
总的来说,报告呼吁开发人员和组织需要加强对Java服务安全性的重视,避免因为第三方漏洞造成安全风险。同时,更加注重依赖关系的管理和安全扫描,可以有效降低应用程序受攻击的风险。
完整性报告