新思科技发布2022年软件漏洞快照报告仿佛一位守护者在黑夜中点亮绿色环保的手抄报灯塔

在当今的数字世界里，软件成为了企业与客户之间交流的重要桥梁。显而易见，企业不仅应该依赖静态分析和软件组成分析工具来识别Web应用中的常见缺陷、漏洞和错误配置；更应以攻击者探测它们方式测试其正在运行的Web应用。全面安全测试是现代管理软件风险的关键手段之一。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告回顾了对2700多个目标进行了4300多次安全测试，这包括Web应用、移动应用、源代码文件以及网络系统。绝大部分安全测试采用“黑盒”或“灰盒”的侵入式方法，如渗透测试、动态应用安全测试（DAST）和移动应用安全测试（MAST），旨在模拟真实环境中潜在威胁者的攻击行为。

研究结果显示，82%的目标是Web应用或系统，13%是移动应用，其余为源代码或网络系统/应用。此外参与这项工作的是从软件与互联网到金融服务，再到制造业、商业服务、消费者服务及医疗保健等众多行业。

在4300多次检测中，新思科技发现95%目标存在某种形式的漏洞，比去年调查减少了2%;20%存在高危漏洞，比去年减少10%;4.5%存在严重漏洞，比去年减少1.5%.

这些数据表明，对于确保没有漏洞，最好的策略是在使用广泛可用工具，如静态分析、中间件分析以及组成分析。此外，在总体检测中有22%暴露于跨站点脚本(XSS)这一普遍且破坏性的高/严重风险漏洞。而好消息是今年调查发现的问题比去年下降6%，说明企业正采取积极措施减少XSS问题。

新思科技软件质量与安全部门负责人Girish Janardhanudu指出：“此报告强调利用如DAST和渗透测试等黑盒技术可以有效地揭示生命周期中的隐患。一个全面的方案应该将这些工具纳入其中。”

《2022年软件漏洞快照》还发现：

在78%目标中出现了OWASP排名前十位的问题。

应用服务器配置错误占所有问题的一半以上。

21％渗透试验揭示出易受攻击第三方库比上一年度增加3%，即OWASP Top 10中的“A06:2021 - 易受攻击过时组件”。

鉴于公司通常混合使用定制代码、现成产品以及开源项目，以创造他们销售或者内部使用的物料清单(SBOM)至关重要。在21％试验中找到了易受攻击第三方库，而许多公司并没有准确详细记录哪些组件被用于开发，以及这些许可证状态如何更新。这使得SBOM成为追踪数百个不同的第三方和开源组件必须解决的一个迫切需求。

尽管低级风险也可能被利用发起攻击，但72％的问题被认为是低级或一般性问题，即不能直接访问系统或敏感信息。但这并不意味着它们无足轻重，因为恶意分子甚至可能利用较低风险的问题发起进攻。例如，有49％DAST试验和42％渗透试验找到服务器Banner信息，这提供了解决方案名称类型版本号等信息，从而让恶意分子针对特定的技术栈发起有针对性质的大规模扫描。