开发和安全团队面临修复漏洞的挑战,许多组织每月修复的漏洞不足16%。CVSS、KEV和EPSS三种框架帮助优先处理漏洞。GitLab 17.9版本支持这些框架,帮助团队评估和优先处理风险。CVSS评估漏洞严重性,KEV关注被利用的漏洞,EPSS预测未来30天内可能被利用的漏洞。结合这三种框架,安全团队能更有效地分配资源,集中处理高风险漏洞。
研究发现,联邦政府维护的已知被利用漏洞(KEV)目录对组织机构产生实质影响。修补KEV目录中的漏洞比非KEV漏洞快3.5倍。Bitsight对100多万个实体进行的漏洞扫描显示,KEV漏洞修复时间中位数为174天,非KEV漏洞修复时间为621天。科技公司是最快修复漏洞的行业,教育机构和地方政府修复时间较慢。CISA最近在KEV列表中添加了两个漏洞,其中一个影响微软产品中的SmartScreen组件。
每年发布超过20,000个常见漏洞和曝光(CVE),找到并修复已知漏洞的软件仍然是漏洞管理团队的挑战。CISA的已知被利用漏洞(KEV)计划旨在减少漏洞。攻击面管理(ASM)解决方案提供了组织攻击面的全面视图,并通过持续资产发现和风险优先级确定了组织的网络风险。验证漏洞的可利用性是CTEM的关键支柱之一。IBM Security Randori是一种攻击面管理解决方案,可以验证CVE的可利用性。
完成下面两步后,将自动完成登录并继续当前操作。
