新思科技发布2022年软件漏洞快照报告仿佛一位守护者在黑夜中点亮灯塔为我们揭示了隐蔽的危机

在当今的数字世界里，软件成为了企业与客户之间交流的桥梁。显而易见，企业不仅应该利用静态分析和软件组成分析工具来检测web应用中的常见缺陷、漏洞和错误配置；还应以攻击者探测它们方式来测试其正在运行的web应用。全面安全测试对于管理软件风险至关重要。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告。这份报告总结了对2700多个目标软件进行4200多次安全测试的结果，其中包括Web应用、移动应用、源代码文件和网络系统。绝大部分安全测试采用侵入式“黑盒”或“灰盒”技术，如渗透测试、动态应用安全测试(DAST)及移动应用安全测试(MAST)，旨在模拟真实环境中潜在威胁。

研究发现，82% 的目标是Web应用或系统，而13% 是移动应用，其余则是源代码或网络系统/应用。在4,300多次测试中，新思科技发现95% 的目标存在某种形式的漏洞，比去年减少2%;20% 存在高危漏洞，比去年减少10%;4.5% 存在严重漏洞，比去年减少1.5%.

这些数据表明，最有效的安全策略是结合使用广泛可用的工具——包括静态分析、动态分析及软件组成分析，以确保没有隐患。例如，在所有被检查过的大约22% 中暴露了跨站脚本(XSS) 漏洞，这是一种影响Web 应用最为普遍且破坏性的高/严重风险类型。而好消息是今年调查显示的问题比上一年有所降低6%，意味着企业正在采取积极措施降低XSS问题。

新思科技副总裁Girish Janardhanudu指出：“这个报告强调，通过如DAST 和渗透测试等侵入式黑盒技术，可以有效地识别到生命周期中的问题。”他还提醒，“一个全面的方案应当将这类工具纳入其中。”

此外，该报告揭示：

在78% 的目标中出现了OWASP 排名前十名的缺陷。

应用与服务器配置错误占据了所有发现到的缺陷数量的一半以上，并且主要集中于OWASP “A05:2021 - 安全配置错误”。

有迫切需求创建物料清单(SBOM)，因为21% 的渗透试验揭示了容易受到攻击第三方库（比上一年的增加3点），这符合2021 年OWASP Top 10 中“A06:2021 - 易受攻击和过时组件”的排名。

最后，即便低风险也可能被利用进行攻击。在72％的情况下，被认为是低级别或中级别风险，但即使如此，这些看似不那么恶劣的问题仍然具有潜力，因为坏分子可以利用任何机会发起攻击。