许多漏洞检测扫描工具会将整个组件(例如 JAR 文件)标记为易受攻击,只要它包含一个易受攻击的类文件,即使该易受攻击的类从未被使用过。这些扫描工具通常只能在组件 JAR 层级进行识别,缺乏精确性,导致误报率较高。Azul Vulnerability Detection 可以识别并优先处理 Java 应用程序中已知的 Java 安全漏洞,准确率高达 1,000 倍。
“一颗烂苹果坏了一筐好苹果。”许多漏洞检测扫描工具似乎仍然遵循这句 13 世纪的谚语。当扫描工具在 JAR 文件中数百个不存在漏洞的类文件中发现一个易受攻击的类文件时,它可能会生成警报,指出整个 JAR 文件都存在漏洞,即使该易受攻击的类从未在生产环境中使用过。这种一刀切的做法会导致扫描工具产生大量误报,使 DevOps 团队不堪重负并影响他们的工作效率。
在 Azul 的《Java 2025 现状调查与报告》中,33% 的参与者表示,他们的 DevOps 团队有一半以上的时间浪费在处理与 Java 相关的 CVE(常见漏洞和暴露)的误报上。
传统的扫描工具通常只能在 CI/CD 和测试环境中的 JAR 层级进行识别,或者针对生产环境快照运行。相比之下,Azul Intelligence Cloud 的一项功能 Azul Vulnerability Detection 在生产环境中的类层级运行,可以识别 Java 应用程序中已知的安全漏洞并确定其优先级,准确率高出 100 到 1,000 倍。
让我们来探索一下 Azul Vulnerability Detection 与其他工具的不同之处。
使用类级运行时数据消除高达 99% 的误报
包含数百个类的 JAR 文件,可能只有三四个类包含易受攻击的代码。传统扫描工具会将整个 JAR 文件都识别为易受攻击的,即使这三四个易受攻击的类从未在生产环境中运行,这会导致每次运行包含易受攻击 JAR 文件的应用程序时都会出现误报。重复出现误报是否好过“吃到一颗烂苹果”?毫无疑问。但有了 Azul Intelligence Cloud,这其实是一个伪命题。
Azul Vulnerability Detection 仅在至少一个易受攻击的类在生产环境中运行时才会识别漏洞。在最近对几家大型企业的研究中,Vulnerability Detection 为他们节省了 57% 的修复时间和精力。当您为工程师节省如此多的时间时,他们可以更轻松地防止那颗“烂苹果”进入客户的“餐桌”。
利用 AI 加速的实时与历史数据分析
Azul Intelligence Cloud 保留了组件和代码的使用历史记录。您的 DevOps 团队可以使用这些信息来确定易受攻击的代码在被识别为易受攻击之前是否已被利用。Azul 持续检测已知漏洞,并精确地对生产环境中的代码进行分类,以便您的 DevOps 团队能够集中其稀缺的资源。Azul 使用 AI 从 NVD(美国国家漏洞数据库)中快速识别特定于 Java 的 CVE,并使用新发布的漏洞更新 Azul Vulnerability Detection 知识库。
Intelligence Cloud 提供持续检测,使 DevOps 团队能够在出现像 Log4Shell 这样的五级警报漏洞时,高效地分类处理生产环境中的关键漏洞。Azul 最大限度地减少干扰,节省 DevOps 团队的时间,使他们能够专注于其他生产性任务。更专注的 DevOps 团队,更少的“烂苹果”,更准确的漏洞检测。
结语
误报不仅会降低 DevOps 的生产力,还会导致网络安全倦怠。当团队长期饱受安全疲劳困扰时,他们不可避免地会开始忽略警报,这可能导致将存在漏洞的应用程序交付给客户,或将可利用的代码部署到生产环境中。
Azul Vulnerability Detection 的优势是实实在在的,不仅能够最大限度地减少网络安全倦怠,还能最大限度地提高 DevOps 生产力。在 2025 年 Censuswide 调查中,应用程序开发人员表示,他们将 41% 的时间用于维护和淘汰代码、扫描或修复漏洞以及参加会议。所有这些无关紧要的工作,只留下 27% 的时间用于编写或改进代码。
Azul Code Inventory 最近对多家大型企业进行了一项研究,结果显示开发人员将超过 50% 的时间用于维护现有代码。通过降低未使用组件中 CVE 的优先级,员工将紧急修复工作减少了约 57%,节省了相当于六名全职员工的工程时间。立即联系我们,了解您的组织如何开始使用 Azul Vulnerability Detection 节省成本。
