新思科技发布低碳生活从我做起实践活动2022年软件漏洞快照报告呼吁全体开发者共同守护网络安全之门
在当今这个低碳生活从我做起实践活动的时代,软件成为了企业与客户交互的重要方式。新思科技(Synopsys, Nasdaq:SNPS)发布了《2022年软件漏洞快照》报告,揭示了4,300多次安全测试结果,其中包括Web应用、移动应用、源代码文件和网络系统。这份报告展示了全方位应用安全测试对于管理软件风险至关重要。
研究发现,大部分目标是Web应用或系统(82%),其余则是移动应用(13%)、源代码或网络系统/应用。参与测试的行业广泛涵盖软件和互联网、金融服务等。
新思科技在这次调查中发现95%的目标存在某种形式的漏洞,比去年减少了2%,而高危漏洞占比降至20%,比去年下降10%,严重漏洞比例为4.5%,较去年减少1.5%。这些数据表明,安全测试应该采用静态分析、动态分析和软件组成分析等多种工具,以确保没有漏洞出现。
跨站点脚本(XSS)是一类常见且破坏性的高/严重风险漏洞,在总测试目标中占22%,但今年比去年有所下降6%。此外,OWASP排名前10名中的78%被发现,而服务器配置错误占18%,其中以OWASP“A05:2021 - 安全配置错误”为主。
报告还指出,有21%的渗透测试揭示了易受攻击的第三方库,这对应于2021年的OWASP Top 10中的“A06:2021 - 易受攻击和过时的组件”。许多公司使用大量定制代码、商业现成代码和开源组件,因此需要准确最新的软件物料清单(SBOM)来追踪这些组件。
尽管72%被认为是低风险或中等风险,但这些漏洞仍然可能被利用发起攻击。在DAST测试中,49%检测到了冗长服务器Banner信息,而42%在渗透测试中找到,这些信息可用于针对特定技术栈发起攻击。此研究强调,全面的应用安全方案应当包含侵入式黑盒技术,如DAST和渗透测试,以有效地检测到生命周期中的潜在问题。