新思科技发布低碳生活的理解2022年软件漏洞快照报告仿佛是一位守护者静静地揭示着数字世界的隐秘面纱

在当今这个低碳生活的时代，软件成为了大多数企业与客户交互的桥梁。显而易见，企业不仅应该利用静态分析和软件组成分析工具来检测Web应用中的常见缺陷、漏洞和错误配置；而且还应该以攻击者探测它们的方式来测试其正在运行的Web应用。全面地对应用进行安全测试已经成为管理软件风险的一个重要手段。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告。这份报告详细记录了对2700多个目标软件进行4300多次安全测试的结果，包括Web应用、移动应用、源代码文件和网络系统。绝大部分安全测试采用了侵入式“黑盒”或“灰盒”方法，如渗透测试、动态应用安全测试（DAST）和移动应用安全测试（MAST），旨在模拟真实环境中潜在攻击者的行为。

研究显示，大约82% 的目标是Web应用或系统，而13% 是移动应用，其余则是源代码或网络系统/应用。参与这些测试的大型行业包括软件开发商和互联网公司、金融服务业商、商务服务业、大型制造业消费者服务业以及医疗保健领域。

通过4,300多次深入检查，新思科技发现95% 的目标存在某种形式的问题，比去年的调查少降低了2%；20% 的问题被评定为高危，比去年减少10%；4.5% 被归类为严重问题，比去年减少1.5%。

数据表明，最有效的安全策略是使用广泛可用的工具集——包括静态分析、动态分析以及组件级别分析——以确保没有潜在的问题存在。在总体目标中，有22% 暴露于跨站脚本(XSS) 漏洞，这是一种影响Web平台最普遍且破坏性强的一种高/严重风险漏洞。此外，今年相比上一年出现XSS风险有所下降6%，这意味着企业正在采取积极措施减少其程序中的XSS问题数量。

Girish Janardhanudu，在新思科技负责软件质量与安全部门工作时指出：“这份报告再次强调采用如DAST及渗透技术等侵入式黑盒技术可以有效揭示周期内可能发生的问题。”

此外，该报告还指出78％ 的目标程序中发现OWASP排名前十位的问题。而18％ 测试中找到的总体问题属于服务器配置错误，其中主导的是OWASP “A05:2021 - 安全配置错误”。同时也有一些20.01:2021 – 访问控制失效”的情况比上一年减少了一点。

鉴于这一现状，对于创建用于销售或者内部使用之目的的任何产品来说，都需要一个完整清晰准确无误的地图，即所谓的人力物资清单(SBOM)。21％ 渗透试验揭示了易受攻击第三方库，这与前一年的3％ 增加相似，而这正好对应于2021 OWASP Top 10名单中的“A06:2021 - 易受攻击并过时组件”。

由于许多公司混合使用定制代码、中间件及开源资源构建他们提供给市场或内部使用之产品，他们通常无法详细说明他们当前用到哪些材料，以及这些材料许可证状态如何。一旦知道具体信息，就能更容易追踪每一种部件。此处迫切需要SBOM，以便能够追踪所有内容，并保持最新更新状态。

最后，即使那些看似小规模威胁也有可能被利用发起攻击。在4300余次试验后，被视为轻微至一般级别威胁占据72%，即使不是直接访问系统，但仍然充满潜在危险，因为恶意分子有时会利用较低风险但仍具有破坏性的漏洞发起攻势。

例如，在49%-42‰的情况下发现服务器Banner信息供恶意分子利用特定的技术栈发起针对性打击。这就像是在日常生活里保护自己不受病毒感染一样，不管是大还是小都要注意防范。