绿茵生态的智慧之声新思科技颂扬2022年软件漏洞快照报告

在当今的数字世界里，软件成为了企业与客户之间交流的桥梁。显而易见，企业不仅应该依赖静态分析和代码组合分析工具来检测Web应用中的常见缺陷、漏洞以及错误配置；还应当以攻击者探索它们方式进行测试，以确保其正在运行的Web应用能够抵御各种威胁。全面的应用安全测试已成为管理软件风险的一个关键手段。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告详细记录了对超过2700个目标软件进行了4300多次安全测试的结果。这包括Web应用、移动应用、源代码文件和网络系统。绝大部分安全测试采用侵入式“黑盒”或“灰盒”技术，如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)，旨在模拟真实环境中潜在攻击者的行为。

调查显示，大约82%的目标是Web服务或系统，而13%是移动服务，其余为源代码或网络系统/服务。参与这次调查的大型行业包括软件开发商和互联网公司、金融机构、商业咨询公司、制造业者及消费品提供商，以及医疗保健领域。

通过4,300多次全面检查，新思科技发现95%的目标存在某种形式的问题，比上一年减少2%；高危问题占20%，比去年下降10%;严重问题占4.5%，比去年下降1.5%.

结果表明，有效地使用广泛工具，如静态分析、中间件分析以及组合性质分析，是确保没有漏洞存在于任何一个程序或系统中的最佳方法。此外，在总共被审查的22%中暴露出了跨站脚本(XSS)漏洞，这是影响最普遍且破坏性最强的一类高/严重级别问题之一。幸运的是，与去年的数据相比，这些风险有所减少，即今年被发现XSS弱点数量较少6%. 这表明企业正在采取积极措施来减少它们所有程序中的XSS弱点。

Girish Janardhanudu、新思科技质量与安全部门负责人指出：“这份报告强调，将如DAST和渗透等黑盒侵入式技术融入到全面的应对策略中，可以有效揭示生命周期内可能出现的问题。”

此外，《2022年软件漏洞快照》报告还揭示：

78％的情况下，其中OWASP排名前十位之列。

在18％的情况下发现了由于服务器配置错误导致的问题，比上一年更低3%.

有21％情况是在渗透过程中遭遇易受攻击第三方库的问题，比去年增加3%,这直接反映了A06:2021 - 易受攻击过时组件这一OWASP Top 10排名第一名的事实。大部分公司混合使用定制编码业务现成编码开源组件构建他们销售或者内部使用的程序。而这些通常拥有非正式（甚至无）的物料清单，不详细说明哪些组件如何被用于那些许可证版本补丁状态。这使得许多公司需要准确最新SBOM以追踪这些材料。

即使低风险也可能成为发起攻击的手段。在这个4000+次数检测后，被认为是低级至中等水平-risk 的72%，即便不能直接利用这些隐患让恶意分子进入重要数据。但并非就意味着可以忽视，因为恶意分子可以利用轻微但仍然存在于70万个案例中的逻辑服务器Banner信息对特定技术栈发起针对性的攻势。如果我们将49% DAST 测试与42 % 渗透试验结合起来，我们会看到这种情况频繁发生。