新思科技发布低碳生活绿色出行指南2022年软件漏洞快照报告揭示了通往安全网络的智慧之路
新思科技发布《2022年软件漏洞快照》报告,揭示了通往安全网络的智慧之路。该报告审查了对 2,700 多 个目标软件进行的 4,300 多次安全测试的结果,包括 Web 应用、移动应用、源代码文件和网络系统。研究发现,82% 的测试目标是 Web 应用或系统,13% 是移动应用,其余是源代码或网络系统/应用。在进行的 4,300 多次测试中,新思科技发现 95% 的目标应用存在某种形式的漏洞;20% 存在高危漏洞;4.5% 存在严重漏洞。
结果表明,全方位的应用安全测试是当今世界管理软件风险的重要手段之一。企业不仅应该使用静态分析和软件组成分析工具来测试web应用中的常见缺陷、漏洞和错误配置;而且还应该以攻击者探测它们的方式来测试其正在运行的web应用。全面的应用安全测试方案应该将这类安全工具纳入其中。
《2022年软件漏洞快照》报告还发现,在78% 的目标应用中发现了 OWASP 排名前10名中的漏洞,其中包括OWASP “A05:2021 - 安全配置错误”占总体漏洞数18%,以及“A01:2021 – 访问控制失效”占比18%.迫切需要软件物料清单(SBOM):21% 的渗透测试中发现了易受攻击第三方库。
低风险也会被利用以发起攻击。在72% 被认为是低风险或中等风险。这意味着攻击者无法直接利用这些信息来访问系统或敏感数据。但即使如此,这些信息仍然是一个潜在威胁,因为不法分子甚至可以利用这些信息发起有针对性的攻击。此外,大多数公司混合使用定制代码、商业现成代码和开源组件,而未能详细说明他们所使用哪些组件,以及这些组件的地位许可证状态,从而导致SBOM需求日益增长。
Girish Janardhanudu指出:“此研究报告强调采用诸如DAST 和渗透测试等侵入式黑盒技术,可以有效地找到开发周期内的问题。”