新思科技的智慧之眼发布2022年软件漏洞快照如同一位守护者揭示了数字世界的隐秘面纱

在当今的数字世界里，软件成为了企业与客户之间交流的重要桥梁。显而易见，企业不仅应该依赖静态分析和软件组成分析工具来识别Web应用中的常见缺陷、漏洞和错误配置；更应以攻击者的视角进行测试，以揭示其正在运行的Web应用中潜在的风险。全面的应用安全测试已成为管理软件风险的一种关键手段。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告详细记录了对超过2700个目标软件进行了4300多次安全测试，其中包括Web应用、移动应用、源代码文件以及网络系统。这项研究采用侵入式“黑盒”或“灰盒”测试方法，如渗透测试、动态应用安全测试（DAST）和移动应用安全测试（MAST），模拟真实环境中恶意分子的行为，以探测出可能被利用的情况。

调查结果显示，大部分测试目标是Web服务或系统，占比达82%，接着是移动应用13%，以及少数为源代码或网络系统/应用。参与此次活动的行业涵盖了从软件及互联网到金融服务，再到制造业、商业服务、消费者服务和医疗保健等多个领域。

在这4,300余次检测中，新思科技发现95%的目标存在某种形式的问题，比去年的数据减少2%；20%以上存在高危问题，与去年相比减少10%；而严重问题则占比4.5%，较去年下降1.5%.

这些数据表明，对于确保无漏洞，最有效的手段是在开发过程中使用广泛可用的工具，如静态分析、动态分析及组件结构性分析。此外，在总体检测对象中，有22%遭遇跨站脚本(XSS)攻击，这类攻击往往会导致严重后果，但值得一提的是，这一类型今年出现比例下降6%,说明企业正采取积极措施来防范XSS漏洞。

Girish Janardhanudu，一位来自新思科技软件质量与安全部门安全咨询副总裁，他指出：“这份报告强调使用如DAST与渗透技术等侵入式黑盒技术，可以有效地暴露开发生命周期中的潜在问题。一套全面的 应用程序安全方案应当将这些设备作为核心要素。”

《2022年软件漏洞快照》还披露了一些其他信息：

在78% 的目标程序内发现OWASP Top 10 中排名前十名的问题。

在18％ 的情况下找到由服务器配置错误引起的问题，而这一比例相比之前调查有所下降3%.

有18％ 的案例可以归结为2021 年 OWASP Top 10 中排名第一名的问题，即访问控制失效。

需要建立清晰准确的地物料清单(SBOM)：21％ 的渗透试验揭示了易受攻击第三方库，并且这种趋势自上一年度以来增加3%.

尽管大多数低级别或普通程度的事故不会直接给予攻击者进入系统或者获取敏感资料权限，但仍然需要注意，因为一些小型事件也能被利用发起更多复杂行动。在所有发现的事故里，有72％ 被认为是低级别或普通水平。这意味着虽然无法立即触发更严重后的影响，但它们仍然具有潜力让黑客通过巧妙操作利用并转变为更危险的情形。例如，被49％ DAST 测试及42％ 渗透试验捕捉到的冗长服务器Banner信息提供了解决方案名称及其版本号等信息，使得任何想要针对特定技术栈发起有针对性的攻擊的人都能够轻易获得相关资讯。