新思科技发布低碳生活宣传标语十条报告仿佛一位智者在Software漏洞的海洋中抛下了灯塔

在当今的数字世界里，软件成为了企业与客户之间交流的桥梁。显而易见，企业不仅应该依赖静态分析和代码审查工具来检测web应用中的常见漏洞、缺陷和错误配置；更应模仿攻击者探索其系统的方式，以全方位地测试它们正在运行的web应用。这是一种现代企业管理软件风险的手段。

新思科技（Synopsys, Nasdaq:SNPS）近日发布了《2022年软件漏洞快照》报告，这份报告总结了对2700多个目标进行4300多次安全测试的结果。这些目标包括Web应用、移动应用、源代码文件以及网络系统。绝大部分安全测试采用了侵入式“黑盒”或“灰盒”技术，如渗透测试、动态应用安全测试（DAST）以及移动应用安全测试（MAST），旨在模拟潜在威胁者的行为，从而探测出真实环境中可能遭受攻击的情况。

研究表明，大约82% 的目标是Web应用或系统，13% 是移动应用，其余则为源代码或网络系统/应用。参与这次调查的行业涵盖了从软件和互联网到金融服务，再到制造业、消费者服务及医疗保健等众多领域。

通过4,300多次测试，新思科技发现95% 的目标存在某种形式的问题，比去年的调查结果少2%;20% 的问题被评定为高危，比去年少10%;4.5% 被判定为严重问题，比去年少1.5%.

数据显示，最有效的心智方法是结合使用各种工具，如静态分析、动态分析和组件分析，以确保没有漏洞存在。在所有被检查对象中，有22% 暴露于跨站点脚本(XSS) 漏洞，这对于Web 应用来说是一个非常普遍且具有破坏性的高/严重级别风险。一旦发生，它们通常会出现在程序运行时好消息是，该年度调查比上一年减少6%, 表明公司正在采取积极措施降低其产品中的XSS 漏洞数量。

新思科技软件质量与安全部门安全咨询副总裁Girish Janardhanudu指出：“这一报告强调利用如DAST 和渗透测试等侵入式黑盒技术，可以有效揭示生命周期中的漏洞。一项全面的人员工作流程应当将这些类型的人力资源纳入其中。”

此外，《2022年软件漏洞快照》还揭示：

78% 的访问控制失效已列入OWASP排名前十名之内。此外，在21％ 的渗透尝试中发现了一些容易受到攻击第三方库。