软件供应链安全趋势 - 全球DevSecOps团队在快速AI应用时代面临软件安全挑战，创新与需求频繁碰撞 [2] - JFrog的年度报告结合了7000多家组织的开发者使用数据、212个高知名度CVE分析以及1200名技术专业人士的调查数据，提供了软件供应链的全面洞察 [2] CVE评分与漏洞分析 - 传统CVSS评分仅关注漏洞严重性，而忽略其被利用的可能性，JFrog安全研究团队在分析2023年发现的212个高知名度CVE后，将85%的严重CVE和73%的高危CVE的严重性降级 [3] - 在Docker Hub社区镜像中，74%的高危和严重CVSS评分的常见CVE实际上不可利用 [3] 攻击类型与安全影响 - 在212个高知名度CVE中，44%具有潜在的拒绝服务（DoS）攻击风险，而17%具有远程代码执行（RCE）风险，RCE对后端系统的完全访问能力使其影响更为严重 [4] - 40%的受访者表示，通常需要一周或更长时间才能获得使用新软件包/库的批准，这延长了新应用和软件更新的上市时间 [5] - 安全团队约25%的时间用于修复漏洞，即使这些漏洞在当前环境下可能被高估或不可利用 [5] 安全测试与工具使用 - 行业在软件开发生命周期（SDLC）中应用安全测试的时机上存在分歧，42%的开发者认为在编写代码时进行安全扫描最佳，41%则认为在从开源软件（OSS）仓库引入新软件包之前进行扫描最佳 [6] - 47%的IT专业人士使用4到9种应用安全解决方案，33%使用10种或更多，显示出市场对安全工具整合的需求 [7] AI/ML工具的应用 - 90%的受访者表示其组织在某种程度上使用AI/ML工具进行安全扫描和修复，但只有32%的专业人士表示其组织使用AI/ML工具编写代码，表明大多数企业对生成式AI代码可能引入的漏洞持谨慎态度 [8] 公司背景与平台 - JFrog致力于通过其“Liquid Software”愿景创建一个从开发者到设备无摩擦的软件世界，其软件供应链平台为组织提供快速、安全的软件构建、管理和分发能力 [11] - JFrog的混合、通用、多云平台在全球拥有7000多家客户，包括大多数财富100强企业 [11]