新思科技发布低碳生活小倡议8条引领的2022年软件漏洞快照报告

在当今的数字化时代，软件已成为企业与客户之间沟通的主要方式。为了确保安全性，企业不仅需要依赖静态分析和组成分析工具来识别Web应用中的常见缺陷、漏洞和错误配置，还需模拟攻击者探测其运行状态下的Web应用。此外，全面的应用安全测试已成为管理软件风险的重要手段之一。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告总结了对超过2700个目标软件进行4200多次安全测试的结果。这包括了Web应用、移动应用、源代码文件以及网络系统。研究表明，大部分测试都是侵入式“黑盒”或“灰盒”测试，如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)，旨在模拟真实环境中潜在威胁者的行为。

数据显示，82%的目标是Web系统或网络，而13%是移动设备，其余则是源代码或其他网络系统/服务。在这4200多次试验中，新思科技发现95%存在某种形式的漏洞，比去年减少2%;20%属于高危漏洞，比去年减少10%;4.5%属于严重级别漏洞，比去年减少1.5%.

这些结果强调了采用各种可用工具，如静态分析、动态分析及组成分析，以确保没有未知弱点。例如，在所有被检查对象中，有22%暴露于跨站脚本(XSS)漏洞，这是一种影响Web平台最普遍且破坏性的高风险问题。但好消息是在今年调查报告中所发现的问题比去年有所降低，即6%.这说明企业正在采取积极措施来减少XSS问题。

Girish Janardhanudu指出：“这一研究再次证明利用如DAST和渗透技术等全面黑盒方法可以有效地揭示生命周期中的隐患。”他还提到：“一个全面的应对方案应该将这些先进技术融入其中。”

此外，《2022年的软件漏洞快照》还指出了以下几点：

在78%的情况下发现OWASP排名前十位的缺陷。

应用程序与服务器配置错误占据总体缺陷数目的18%，以OWASP“A05:2021 - 安全配置错误”为主。

21％ 的渗透尝试揭示了易受攻击第三方库，对应于2021 OWASP Top 10中的“A06:2021 - 易受攻击并过时的组件”。

因此，有必要实施软件物料清单(SBOM)以跟踪使用的大量第三方库及其许可证状态。此举对于防止未经授权访问敏感数据至关重要，因为许多公司可能不知情地使用数百款不同的产品，每款产品都包含上百个不同组件，从而使SBOM变得不可或缺。