新思科技发布2022年软件漏洞快照报告正如环境保护的名言所说保护地球犹如护理自己的家

软件是大多数企业与客户交互的方式。很明显，企业不仅应该使用静态分析和软件组成分析工具来测试web应用中的常见缺陷、漏洞和错误配置；而且还应该以攻击者探测它们的方式来测试其正在运行的web应用。全方位的应用安全测试是当今世界管理软件风险的重要手段之一。

新思科技(Synopsys, Nasdaq:SNPS)近日发布了《2022年软件漏洞快照》报告。这份报告审查了对 2,700 多 个目标软件进行了 4,300 多次安全测试的结果，包括 Web 应用、移动应用、源代码文件和网络系统（即软件或系统）。大多数安全测试采用侵入式“黑盒”或“灰盒”技术，包括渗透测试、动态应用安全测试 (DAST) 和移动应用安全测试 (MAST)，旨在探测在真实环境中恶意分子会如何攻击正在运行的应用。

研究发现，82% 的目标是 Web 应用或系统，13% 是移动应用，其余为源代码或网络系统/应用。参与这些行业有软件和互联网、金融服务、商业服务制造业消费者服务以及医疗保健。

在这 4,300 多次检测中，新思科技发现95% 的目标存在某种形式漏洞（比去年的调查减少了2%）；20% 存在高危漏洞（比去年减少10%）；4.5% 存在严重漏洞（比去年减少1.5%).

结果表明，最有效的心理防御方法是在广泛可用的工具上进行综合运用，如静态分析、动态分析以及软硬件组合分析，以确保没有潜在问题。例如，在总体检查项目中，有22%暴露于跨站点脚本(XSS)漏洞，这是一种影响Web 应用的普遍且破坏性极强的一种高级别风险。在许多情况下，这些XSS发生是在程序执行时。此消息令人鼓舞，因为今年调查发现的问题数量相较于往年有所降低6个百分点。这意味着公司正采取积极措施以减少他们产品中的XSS问题。

新思科技质量与安全部门负责人Girish Janardhanudu指出：“该研究报告突出了通过DAST及渗透等黑盒技术全面检视开发周期内存在的问题，可以有效地找到隐藏之处。在一个完整策略里应将此类保护机制融入其中。”

《2022年软件快照》也揭示：

78％ 的受试对象中出现OWASP排名前十名最具威胁性的缺陷。错误配置占所有发现问题总量18％，比前一年的统计数据降低3个百分点，以OWASP “A05:2021 - 安全配置失误”为主。而鉴于2021 OWASP Top Ten排名第一的是“A01:2021 – 访问控制失败”，我们注意到它相较于前一年有所下降一率%.

迫切需要编码清单(SBOM). 在21％ 测试过程中被发现在易受攻击状态第三方库(增加3%)。这符合2019 OWASP 排行第六位"A06:2017 - 易受攻击组件"名称记载。大部分企业混合使用定制代码商业现成代码开源组件构建他们销售或内部使用产品。当这些公司拥有几百甚至上千个不同类型并同时具有无形无形物料清单未能详细说明用于哪些具体部件许可证版本补丁状态时，他们面临巨大的挑战。如果没有准确最新SBOM追踪每一次更新变更则无法做出决策。此外由于每家公司可能拥有数百个不同的第三方及开源部件因此对于准确最新SBOM需求尤为迫切。

尽管大多数检测到的隐患属于低风险至平均水平—72%，但并不代表这些隐患不会被利用。一旦利用，就可能导致严重后果，无论是否直接访问敏感数据。一例就是服务器Banner信息冗长显示，在49%DAST 检测和42 % 渗透检测案例中遭遇，此信息提供服务器名称类型版本号等细节给予潜在攻客针对特定技术栈发起精心准备过的攻势。