新思科技发布低碳生活作文500字左右报告仿佛一位智慧的守护者展现了2022年软件漏洞的全貌

在当今的数字化时代，软件已成为企业与客户之间交流的主要手段。为了确保安全性，企业不仅需要依赖静态分析和组成分析工具来识别Web应用中的常见缺陷、漏洞和错误配置，还应模拟攻击者探测方式对其运行中的Web应用进行测试。全面而系统地评估应用安全是管理软件风险的关键之一。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告总结了对超过2700个目标软件进行4200多次安全测试的结果。这包括了Web应用、移动应用、源代码文件以及网络系统。绝大部分测试采用侵入式“黑盒”或“灰盒”技术，如渗透测试、动态应用安全测试（DAST）和移动应用安全测试（MAST），旨在模仿真实环境中可能发生的情况。

研究发现，大约82%的目标是Web应用或系统，13%是移动应用，其余则为源代码或网络系统/ 应用。此外，这些活动涉及到诸如互联网服务提供商、高金融机构、大型零售商、制造业巨头、中小型企业服务提供商以及医疗保健行业等多个行业。

通过4200多次检测，新思科技揭示出95%的目标存在某种形式的漏洞，比去年调查时减少了2%;高危漏洞占比20%，比上一年下降10%;严重漏洞占4.5%，较去年减少1.5%.

数据显示，不同类型工具结合使用，即静态分析、动态分析和组件构造分析，是保障无缺陷状态的一个关键因素。在所有检测对象中，有22%遭遇跨站脚本(XSS)攻击，这是一种影响网站最普遍且破坏性的高/严重级别问题。幸运的是，与前一年的情况相比，此类风险有所下降6%,表明公司正在采取积极措施以减少XSS弱点出现频率。

Girish Janardhanudu表示：“这份报告强调利用像DAST 和渗透这样的黑盒技术可以有效发现生命周期中的潜在问题。”

此外，该报告还指出78% 的目标存在OWASP排名前十名的问题，其中18% 是由于服务器配置错误引起，比去年下降3%. 21 % 的渗透试验揭示了易受攻击第三方库的问题，比去年的3%增长。这与2021 年OWASP Top Ten 中排名第六位的问题相关联，即“A06:2021 - 易受攻击和过时组件”。许多公司混合使用定制代码、高级现成产品及开源组件，以创建他们销售给其他人或者内部使用的大量软件。但这些公司通常没有详细记录它们所使用各项材料清单，以及这些材料许可证版本状态补丁信息，因此对于准确最新SBOM至关重要，以追踪这些材料并保持更新。