新思科技的智慧之眼发布2022年软件漏洞快照如同一位守护者揭示了黑暗中的绿色力量

在当今的数字世界里，软件成为了企业与客户之间交流的桥梁。显而易见，企业不仅应该利用静态分析和软件组成分析工具来检测web应用中的常见缺陷、漏洞和错误配置；还应以攻击者探测它们方式来测试其正在运行的web应用。全面安全测试对于管理软件风险至关重要。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告。这份报告总结了对2700多个目标软件进行4200多次安全测试的结果，其中包括Web应用、移动应用、源代码文件和网络系统。绝大部分安全测试采用侵入式“黑盒”或“灰盒”技术，如渗透测试、动态应用安全测试(DAST)及移动应用安全测试(MAST)，旨在模拟真实环境中恶意行为者的攻击手段。

研究显示，82%的目标是Web应用或系统，13%是移动应用，其余为源代码或网络系统/应用。参与这次调查的行业包括科技互联网、金融服务业、商业服务业、制造业、中小企业及医疗保健等。

通过4,300多次测试后，新思科技发现95%目标存在某种形式漏洞（比去年的调查减少2%），其中20%存在高危漏洞（较去年减少10%），4.5%存在严重漏洞（较去年减少1.5%）。

数据表明，最有效的心理防线是在使用广泛工具——如静态分析、高级动态分析以及组成分析——以确保没有未知威胁。在总共1200个被评估项目中，有22个暴露于跨站脚本(XSS)问题，这是影响Web平台上最普遍且破坏性最强的一类高/严重风险问题。此外，大约有78％的问题来自OWASP Top 10列表中的前十名问题，而21％的问题与易受攻击第三方库有关，比去年增加3％。

鉴于这一点，我们认识到迫切需要一个详细且准确的人物清单(SBOM)，特别是在渗透试验中找到了过百个可疑第三方库的情形。在过去一年内，对SBOM需求日益增长，因为公司越来越意识到他们不能再依赖非正式或者根本不存在的人物清单，以追踪他们拥有的数百上千种不同组件及其许可证状态。此外，不论风险如何低，都可能成为攻击者发起攻击的手段之一，在此400例被认为是低风险或中等风险，但仍然值得警惕，因为任何一处弱点都可能让门户大开给潜在入侵者。而服务器Banner信息也同样如此，它们提供了服务器名称类型版本号等信息，从而使得攻击者能够针对特定技术栈发起有针对性的攻势，并导致49％DAST试验及42％渗透试验发现这些信息。