新思科技发布2022年软件漏洞快照报告文明健康绿色环保摘抄仿佛一位守护者在夜的幕后低语着技术的智慧

在当今的数字世界里，软件成为了企业与客户之间交流的桥梁。显而易见，企业不仅应该依赖静态分析和代码组合分析工具来检测Web应用中的常见缺陷、漏洞以及错误配置；还应当以攻击者探索它们方式进行测试，以确保其正在运行的Web应用能够抵御各种威胁。全面的应用安全测试已成为管理软件风险的一个关键手段。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告详细记录了对2700多个目标软件进行4300多次安全测试的结果，这包括了Web应用、移动应用、源代码文件和网络系统。绝大部分安全测试采用侵入式“黑盒”或“灰盒”技术，如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)，旨在模拟真实环境中潜在攻击者的行为。

调查显示，大约82%的目标是Web服务或系统，而13%是移动服务，其余则是源代码或网络系统/服务。这一范围广泛的行业参与者包括软件开发商和互联网公司、金融机构、商业服务提供商、制造业公司以及消费者服务及医疗保健领域。

经过4300多次深入检查，新思科技发现95%存在某种形式漏洞，比去年减少2%;高危漏洞占比20%，较去年减少10%;严重级别漏洞比例为4.5%，相比之下有1.5%降低。此数据表明，无论何种类型的攻击，都需要采取全面而精准的手段来防范，如使用静态分析工具结合动态分析和组件分析，以确保每一次交互都是无害且可信赖。

例如，22%被发现暴露于跨站脚本(XSS)攻击，这是影响web平台最普遍并且具有破坏性的高风险问题之一。大好消息是在今年调查中所发现的问题数量比去年减少6%，这意味着企业正在积极采取措施来削弱其产品中的XSS问题。而Girish Janardhanudu指出：“此研究强调，将如DAST等侵入式黑盒技术纳入到生命周期中，可以有效地识别潜在的问题。”

此外，该报告揭示78%被认为存在OWASP前十名排名最高的问题，并显示18%相关于服务器配置错误，比去年的调查结果少3%,主要集中于OWASP “A05:2021 - 安全配置错误”。同时，在21％的情况下，一些易受攻击第三方库被发现，其中3％增加相对于上一年度，这与2021 OWASP Top 10中的“A06:2021 - 易受攻击和过时组件”有关。由于许多组织混合使用定制代码、私有现成产品及开源内容构建他们销售给用户或者内部部署的程序，因此拥有一个准确最新物料清单(SBOM)至关重要，但目前很多组织仍然没有这样做。

虽然大多数找到的问题被归类为低风险或中等风险，但这并不意味着这些问题就不会被利用。一旦利用，即使是低、中等风险也能导致严重后果。在49％DAST 测试及42％渗透 测试中发现冗长服务器Banner信息，可供攻城狮窃取敏感信息，从而发起针对性袭击。