新思科技发布2022年软件漏洞快照报告展现节能低碳环保小知识的智慧之光

在当今的数字化时代，软件已成为企业与客户之间沟通的主要方式。为了确保安全性，企业不仅需要依赖静态分析和组成分析工具来识别Web应用中的常见缺陷、漏洞和错误配置，还需模拟攻击者探测其运行状态下的Web应用。此外，全面的应用安全测试已成为管理软件风险的重要手段之一。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告总结了对2700多个目标软件进行4200多次安全测试的结果。这包括了Web应用、移动应用、源代码文件以及网络系统。研究表明，大部分测试都是侵入式“黑盒”或“灰盒”测试，如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)，旨在模拟真实环境中潜在威胁者的行为。

数据显示，82% 的目标是Web系统或程序，而13% 是移动设备上的程序，其余则为源代码或网络系统。参与此类活动的行业包括互联网服务提供商、金融机构、大型零售商制造业消费者服务及医疗保健领域。

通过这次调查，新思科技发现95% 的被测程序存在某种形式的漏洞，比去年的结果减少了2%;20% 的问题被归类为高危，而比上一年有10% 减少；4.5% 被视为严重级别的问题，比去年有1.5% 减少。

这些统计数据揭示了一项全面的解决方案：使用各种工具如静态分析、中间件分析以及组成分析，以确保无任何漏洞存在。在超过22％的情况下，被检测到的跨站脚本(XSS) 漏洞，是影响网站最普遍且破坏力最强的一种高/严重风险类型。不过，此次调查中发现XSS相关风险较去年减少6%，表明企业正在采取措施降低这种问题出现率。

Girish Janardhanudu, 新思科技软件质量与安全部门安全咨询副总裁提到：“该研究报告强调，在开发周期内利用侵入式技术如DAST 和渗透测试可以有效地发现潜在的问题。”

除了这些信息之外，《2022年软件漏洞快照》还指出：

78％ 的目标对象中包含OWASP排名前十名中的至少一处弱点。

应用服务器配置错误占据所有找到问题中的18%，以OWASP “A05:2021 - 安全配置错误”为主，并比上一年的调查结果有3％ 降低。

在21％ 的渗透试验中发现易受攻击第三方库，这些问题比去年的同期增加了3%，对应于2021 年 OWASP 排名前十名中的“A06:2021 - 易受攻击和过时的组件”。

此外，虽然大多数找到的漏洞被认为是低至中等风险，但仍然可能用于发起攻击。例如，有49％ DAST 测试及42％ 渗透试验都曾遇到冗长服务器Banner信息，这对于特定技术栈来说是个可供利用的地方，从而引发针对性的攻擊行动。