2024年12月15日

新思科技发布了一个报告它就像一位小学生对环保照片的热爱一样详尽地记录了2022年软件漏洞的全貌

在当今的数字世界里,软件成为了企业与客户之间交流的重要桥梁。显而易见,企业不仅应该依赖静态分析和组件分析工具来检测Web应用中的常见缺陷、漏洞以及错误配置;还应该以攻击者探索它们方式进行测试,以确保其正在运行的Web应用能够抵御各种威胁。全面的应用安全测试已成为管理软件风险的一个关键手段。

新思科技(Synopsys, Nasdaq:SNPS)最近发布了《2022年软件漏洞快照》报告,该报告详细记录了对2700多个目标软件进行4300多次安全测试的结果,这包括了Web应用、移动应用、源代码文件和网络系统。绝大部分安全测试采用了侵入式“黑盒”或“灰盒”方法,如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST),旨在模拟真实环境中潜在攻击者的行为。

研究显示,大约82%的目标是Web应用或系统,而13%则是移动应用,其余则为源代码或网络系统/设备。这份报告涵盖了来自软件和互联网、金融服务、商业服务、制造业、消费者服务以及医疗保健等行业的大量参与者。

通过4,300多次独立测试,新思科技发现95%的目标存在某种形式的问题,比去年减少2%;20%存在高危问题,比去年减少10%;4.5%存在严重问题,比去年减少1.5%.

结果表明,有效地利用广泛可用的工具——包括静态分析、高级动态分析以及组件分析—至关重要,以确保没有漏洞出现在最终产品中。例如,在所有被测对象中,有22%暴露于跨站脚本(XSS)漏洞,这是一种影响Web开发人员工作流程上最普遍且具有破坏性的高/严重风险类型。一旦XSS被发现,它通常会出现在运行时。此外,本年度调查结果显示XSS风险相比上一年有所降低6%,这表明公司正采取积极措施来减少其产品中的XSS问题。

Girish Janardhanudu、新思科技软件质量与安全部门负责人指出:“此研究强调使用如DAST及渗透技术等侵入式黑盒方法,可以有效揭示整个生命周期中的潜在问题。”

《2022年软件漏洞快照》报告还揭示:

78% 的目标程序包含OWASP Top 10列表中的前十名漏洞,其中18%是由服务器配置错误引起,并以OWASP “A05:2021 - 安全配置错误”为主。而总共出现的问题数量中有18%,可以归结为2021年的OWASP Top 10排名第一个位置,“A01:2021 – 访问控制失效”。

迫切需要建立清晰的供应链管理。在21%的人工渗透试验中发现了一些容易受到攻击的第三方库,这比去年的数据增加3%,对应于该年度OWASP排名前十名中的“A06:2021 - 易受攻击且过时组件”。许多公司将定制代码、大型现成代码片段,以及开源编码混合用于他们销售或者内部使用的情况下生产出的软体。在这些情况下,他们通常没有正式化物料清单,也无法详细说明他们使用哪些组件及其许可证版本状态。大规模公司可能拥有数百个不同的第三方和开源子集,因此对于追踪这些子集来说,他们非常需要准确最新SBOM以进行有效追踪。

即使那些看似低风险的问题也能被利用发起攻击。在4300次独立检查后,被认为是低、中等风险的问题占据72%,意味着即便不能直接访问敏感数据,但仍然可能被用作发起更大范围操作的一环。例如,在49%的人工渗透试验及42%的人工动态扫描试验中发现冗长服务器Banner信息提供了解决方案名称、类型及版本号给予特定技术栈针对性攻击机会。这展示了即使似乎并不具备高度威胁价值但仍旧可能遭到滥用的弱点之所以值得关注。如果我们不小心忽视它们,那么就很难预防未来的隐患。但反过来,如果我们持续监控并不断改进,我们就能保持竞争优势,从而保护我们的资产免受损害,同时增强我们的整体业务稳定性。