新思科技发布环保产品安全守护2022年软件漏洞快照报告

在当今的数字化时代，软件已成为企业与客户之间沟通的主要方式。为了确保安全性，企业不仅需要依赖静态分析和组成分析工具来识别Web应用中的常见缺陷、漏洞和错误配置，还需模拟攻击者探测其运行状态下的Web应用。此外，全面的应用安全测试已成为管理软件风险的重要手段之一。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告总结了对超过2700个目标软件进行4200多次安全测试的结果。这包括了Web应用、移动应用、源代码文件以及网络系统。研究表明，大部分测试采用侵入式“黑盒”或“灰盒”方法，如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)，旨在模拟真实环境中潜在威胁。

调查结果显示，82%的目标是Web应用或系统，而13%则是移动应用，其余为源代码或网络系统/应用。参与这项工作的是来自多个行业的大型公司，如互联网服务提供商、金融机构、制造商及医疗保健领域。

通过4,300多次检测，新思科技发现95%的目标存在某种形式的问题，比去年减少2%;20%存在高危问题比去年减少10%;而4.5%存在严重问题，比去年减少1.5%.

这些数据强调了使用各种工具如静态分析、中间件分析以及组成分析以确保没有漏洞至关重要。例如，在总共的目标中有22%暴露于跨站脚本(XSS)攻击，这是一个影响Web 应用最常见且具有破坏性的高/严重风险漏洞之一。在今年调查中所发现的一些风险低于去年的水平，这表明企业正在采取积极措施来降低XSS漏洞数量。

Girish Janardhanudu、新思科技软件质量与安全部门负责人指出：“此报告强调利用诸如DAST 和渗透测试等侵入式黑盒技术，可以有效找到生命周期中的缺陷。”

《2022年软件漏洞快照》还揭示了一些其他关键信息：

在78% 的被评估过的情况下，有OWASP排名前十位的问题。

18％ 的所有发现问题都归咎于OWASP “A05:2021 - 安全配置错误”，这是导致所有问题的一个原因。

有21％ 的渗透试验揭示了易受攻击第三方库（比上一年的增加3％），这对应于2021 年 OWASP 排名前十名中的“A06:2021 - 易受攻击和过时组件”。

由于大部分公司混合使用定制代码、现成产品及开源库来开发他们出售或内部使用的程序，他们迫切需要一个准确最新版物料清单(SBOM)，以便追踪哪些组件在哪儿，以及它们许可证状态如何。因此，对SBOM需求越发紧迫，因为它能帮助追踪这些庞大的复杂结构内包含数百不同第三方及开源项目，以保持最新补丁状态并合规操作。

尽管许多看似无害的小bug可能不会立即造成损害，但却可以被恶意分子利用作为跳板以发起更大的攻势。在4000多次检测中有72%，被认为是低级到中等级别的问题，即使它们不是直接访问系统或者敏感数据。但是不法分子仍然能够利用这些较小但未修补的问题作为跳板进行更广泛范围内活动。而服务器Banner信息长短也同样值得注意，因为49％ DAST 测试和42％ 渗透试验都找到了这样的情况，它们提供了解决方案类型版本号等信息给予潜在敌人针对特定的技术栈构建有针对性的进攻计划。