报告核心观点 - 公司发布的《2025年DevSecOps现状报告》发现，仅有18%的CVSS评级为“严重”的漏洞真正值得优先处理 [1][2] - 报告强调安全团队面临大量干扰信息，需结合运行时上下文来识别最紧迫的安全问题，从而更快地缩小攻击面 [2][3] - 可被利用的漏洞在Java应用中尤为普遍，44%的Java应用包含已知可被利用的漏洞，远高于其他编程语言服务的平均水平（2%） [3] 漏洞优先级评估方法 - 公司在CVSS基础评分之上引入优先级算法，纳入运行时上下文（如漏洞是否在生产环境中运行、应用是否暴露于互联网）以更准确评估漏洞严重性 [2] - 应用运行时上下文后，仅有18%（低于五分之一）的CVSS严重漏洞仍被视为关键，有效减少了干扰 [2] 编程语言生态系统的安全状况 - Java应用不仅更可能包含高影响漏洞，其修复速度也较慢：基于Java的Apache Maven生态系统库修复平均需要62天，而基于NET的生态系统需46天，基于JavaScript的npm包仅需19天 [4] - 在所有编程语言中，依赖库普遍落后最新主要更新数月；部署频率低于每月一次的服务，其依赖库的过时程度比每日部署的服务高出47% [5] 软件供应链安全威胁 - 攻击者持续针对软件供应链，报告识别出数千个恶意的PyPI和npm库，部分采用仿冒合法包（如passports-js仿冒passport）的“误植域名”技术，另一些则是热门合法依赖（如Ultralytics, Solana web3js, lottie-player）的被主动接管 [4] - 这些技术既被国家支持的行为者使用，也被网络犯罪分子使用 [4] 凭证管理改进趋势 - 数据泄露最常见原因之一是长期有效的凭证，去年有63%的组织至少使用过一次此类凭证来验证GitHub Actions流水线 [4] - 今年该数字下降至58%，表明组织的凭证管理流程正在缓慢改善 [5] 报告研究方法与范围 - 为评估防御者需关注的风险类型及可采纳的安全实践，公司分析了数千个云环境中的数万个应用和容器镜像 [5]