新思科技以环保主题画的姿态发布了2022年软件漏洞快照这份报告如同一位守护者静静地揭示着数字世界的隐

在当今的数字世界里，软件成为了企业与客户之间交流的桥梁。显而易见，企业不仅应该利用静态分析和软件组成分析工具来检测web应用中的常见缺陷、漏洞和错误配置；还应以攻击者的角度测试其正在运行的web应用。全面而深入的应用安全测试已成为现代管理软件风险的一种重要手段。

新思科技（Synopsys, Nasdaq:SNPS）近日发布了《2022年软件漏洞快照》报告，这份报告详细记录了对2,700多个目标软件进行4,300多次安全测试的情况。这包括Web应用、移动应用、源代码文件以及网络系统。在这些安全测试中，大部分采用了侵入式“黑盒”或“灰盒”方法，如渗透测试、动态应用安全测试（DAST）以及移动应用安全测试（MAST），旨在模拟真实环境中可能发生的攻击行为。

调查结果显示，82% 的目标是Web应用或系统，而13% 是针对移动应用，其余则为源代码或网络系统/应用。参与这次调查的大部分行业包括软件和互联网服务业、金融服务业、商业服务业、制造业、高消费者服务业以及医疗保健领域。

通过4,300多次的安全审查，新思科技发现95% 的目标存在某种形式的问题，比去年减少了2%;其中20% 问题被归类为高危，比去年减少10%;而4.5% 被认定为严重问题，比去年减少1.5%.

数据表明，最有效的防范措施是在使用广泛可用的工具——包括静态分析、二进制分析以及组件分析，以确保没有未知瑕疵。例如，在总共3亿次审查中，有22% 属于跨站脚本(XSS) 漏洞，这是影响Web网站最普遍且破坏性极强类型高/严重风险漏洞之一。而令人振奋的是今年调查比去年低6%，意味着企业正采取积极行动来减少XSS漏洞出现。

新思科技负责人Girish Janardhanudu指出：“这个研究报告强调使用如DAST及渗透等黑盒技术，可以有效地揭示出生命周期中的潜在隐患。一套全面的应急策略应当将此类工具纳入其中。”

除了上述内容，《2022年软件漏洞快照》报告还揭示了一些其他关键信息：

在78% 的目标中发现了OWASP排名前十位的问题。

应用程序及其服务器配置错误占据总体问题中的18%，主要集中于OWASP “A05:2021 - 安全配置错误”，比去年的降低3%.

需要建立详尽物料清单(SBOM)，21% 的渗透试验发现有易受攻击第三方库，这与2021 OWASP Top 10 中“A06:2021 - 易受攻击过时组件”相符。

即使是较低风险的问题也能被利用发起攻势。在所有发现的问题中有72%,被评估为低至中等风险，即便如此，不法分子仍然可以利用这些弱点发起攻势。此外，49％ DAST 测试和42％ 渗透试验都揭示出了冗长服务器Banner信息，为特定技术栈发起精准攻击提供了解释材料。