新思科技发布2022年软件漏洞快照报告犹如一位智慧的守护者为家庭低碳生活照片提供了坚实的技术保障

在当今的数字化时代，软件已成为企业与客户之间交流的主要手段。为了确保安全性，企业不仅需要依赖静态分析和组成分析工具来识别Web应用中的常见缺陷、漏洞和错误配置，还需模拟攻击者探测方式对其运行中的Web应用进行全面测试。全方位的应用安全测试已经成为全球管理软件风险的一个关键手段。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告总结了对超过2700个目标软件进行4300多次安全测试的结果，这些目标包括Web应用、移动应用、源代码文件以及网络系统。研究发现，大部分测试采用了侵入式“黑盒”或“灰盒”技术，如渗透测试、动态应用安全测试（DAST）和移动应用安全测试（MAST），旨在模拟真实环境中潜在威胁者的行为。

调查显示，82%的目标是Web系统或网络，而13%是移动应用，其余为源代码或其他网络系统/应用。参与这项研究的行业包括软件开发、互联网服务提供商、金融机构等。

通过4,300多次完整扫描，新思科技揭示出95% 的目标存在某种形式的漏洞，比去年减少了2%，其中20%被认为是高危且比去年减少10%，而4.5%则属于严重类别，比去年下降1.5%.

这些数据表明，在构建全面的防护策略时，将不同类型工具相结合至关重要。这包括静态分析、中间件分析以及组成分析，以确保无任何隐患。此外，有22% 的总体目标遭遇跨站脚本(XSS) 漏洞，这是影响 Web 应用最普遍且破坏力最强的一类高/严重级风险问题之一。大好的消息是在今年调查中所暴露出的风险比上一年低6%，这表明企业正在采取积极措施来降低他们平台上的 XSS 漏洞数量。

Girish Janardhanudu，一位来自新思科技软件质量与安全部门安全咨询副总裁表示：“本次报告强调使用如DAST 和渗透测试等侵入式黑盒技术对于发现生命周期内可能存在的问题至关重要。”他补充说，“一个完善的人员应将这些工具融入到日常工作流程中。”

此外，《2022年软件漏洞快照》还指出：

78% 的检测对象含有OWASP Top 10名单中的前十大危险点。

在18％的情况下，可以归咎于服务器配置错误，这占据所有检出的50％。

在21％的情况下，即使易受攻击第三方库也被找到了，从而增加了3％。

这些都是由OWASP “A06:2021 – 易受攻击和过时组件”命名，其中包含大量定制代码开源项目及商业现成代码混合体现出来的问题。在很多公司里，他们并没有详细记录他们使用哪些组件，以及它们许可证状态如何，也没有跟踪每个程序都有多少不同的第三方库。而且随着越来越多公司建立自己的物料清单以追踪这种信息，我们可以预见这个趋势会继续增长，对于保护现代IT基础设施来说非常必要。

虽然绝大部分发现的事故均为低风险，但仍具有潜在威胁，因为它们可以被利用作为发起更大型恶意活动的手段，如49% DAST 测试及42 % 渗透试验中揭示出来长时间未更新服务器Banner信息，这让敌人能够确定特定硬件架构，并针对性的发起攻击。