新思科技发布了一个有创意的环保作文题目2022年软件漏洞快照就像一位守护者揭示了黑暗中的隐秘引领我们

在当今的数字世界里，软件成为了企业与客户之间交流的桥梁。显而易见，企业不仅应该利用静态分析和软件组成分析工具来检测web应用中的常见缺陷、漏洞和错误配置；更重要的是，他们还应当以攻击者的视角进行测试，将其正在运行的web应用置于真实环境中。全面而深入的应用安全测试已成为管理软件风险不可或缺的手段之一。

新思科技（Synopsys, Nasdaq:SNPS）近期发布了《2022年软件漏洞快照》报告，这份报告详细记录了对超过2700个目标软件进行4000多次安全测试的结果。这包括Web应用、移动应用、源代码文件以及网络系统（即涉及到的任何类型的软件或系统）。大部分安全测试采用侵入式“黑盒”或“灰盒”方法，其中包括渗透测试、动态应用安全测试（DAST）和移动应用安全测试（MAST），旨在模拟潜在威胁者如何攻击实际运行中的程序。

调查表明，82% 的目标是Web 应用或系统，而13% 是移动应用，其余则是源代码或网络系统/应用。此外，被测行业涵盖了从软硬件到金融服务再到医疗保健等广泛领域。

通过4,300多次评估，新思科技揭示出95% 的目标存在某种形式的问题，比去年的数据有所下降；20% 的问题被分类为高危漏洞，比去年减少10%; 而严重漏洞占比为4.5%，相较于去年的1.5%有所下降。

这些统计数据显示，确保最佳保护措施应使用广泛可用的工具，如静态分析、动态分析和组成分析，以防止潜在风险。在总共600个被评估项目中，有22%暴露于跨站脚本(XSS)漏洞，这类高/严重级别的事故最易影响Web 应用，并且通常发生在程序执行时。尽管今年发现的情况比去年轻6%，但这仍然是一个需要关注的问题点，因为公司正采取积极措施减少XSS问题。

Girish Janardhanudu，新思科技负责质量与安全部门的一位高级顾问指出：“这份研究强调，在生命周期中运用如DAST 和渗透技术可以有效地探查并识别可能存在的问题。”

此外，该报告还指出：

78% 的被测项目出现了OWASP排名前十名的问题。

18％ 中低风险问题主要来源于服务器配置错误，与OWASP “A05:2021 - 安全配置错误”相关联。

在21％ 渗透尝试中发现了一些容易受到攻击第三方库的情形，与2021 OWASP Top Ten中的“A06:2021 - 易受攻击和过时组件”相关联。大约21％ 被分配给第三方库，是所有触发事件中的最大一部分，但这种情况自上一年以来增加了3％。

考虑到大量商业实践依赖定制代码、一些现成产品以及开源组件开发功能性丰富且复杂的大型软件包，而许多组织却没有准确跟踪它们使用哪些组件，以及这些材料许可证状态、新版本更新及修补信息，因此他们迫切需要准确最新版物料清单以追踪这些关键部件。

即使是低风险损坏也有破坏性的后果：72% 被归类为低、中等风险，但仍可能引发潜在威胁，如冗长服务器Banner信息，它们提供了解决方案名称及其它信息供恶意用户参考并针对特定的技术平台实施有针对性的攻势。在49 % DAST 测试和42 % 渗透尝试中都发现到了这种情况。