新思科技倡导低碳生活宣传文稿2022年软件漏洞快照报告发表

在当今的数字化时代，软件已成为企业与客户之间沟通的主要方式。为了确保安全性，企业不仅需要依赖静态分析和组成分析工具来检测Web应用中的常见问题、漏洞和错误配置，还需模拟攻击者探测它们运行状态下的Web应用。这一全面的安全测试方法是现代世界管理软件风险的重要手段。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告总结了对超过2700个目标软件进行4200多次安全测试的结果，这些包括Web应用、移动应用、源代码文件以及网络系统。绝大部分测试采用“黑盒”或“灰盒”的侵入式方法，如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)，旨在模拟实际场景下潜在攻击者的行为。

调查显示，82%的目标是Web系统或网络，而13%则针对移动应用，其余为源代码或其他类型。参与此次评估的行业包括软件开发商、互联网服务提供商、金融机构及相关领域。

通过4200多次试验，新思科技发现95%目标存在某种形式漏洞，比去年减少了2%;20%中有高危漏洞比去年减少10%;而4.5%中有严重漏洞比去年减少1.5%.

这些数据表明，无论是使用静态分析还是动态分析，以及组成分析工具，都对于确保没有任何缺陷至关重要。在这4000多次尝试中，有22%暴露于跨站脚本(XSS)这一最具破坏性的高/严重风险问题之一。此类XSS通常出现在运行时发生，因此虽然今年相较前一年出现6%降低，但仍需警惕。

Girish Janardhanudu、新思科技质量与安全部门副总裁指出：“该研究强调利用DAST等侵入式技术可以有效地发现生命周期中的缺陷。”他认为，全面的应对策略应当包含这些工具以加强防护措施。

除了上述信息，《2022年软件漏洞快照》报告还揭示：

78％目标程序存在OWASP排名前十名的问题。

应用服务器配置错误占所有发现缺陷数目的18%，其中主导的是OWASP“A05:2021 - 安全配置错误”。

鉴于21％渗透测试曝光易受攻击第三方库增加3%，迫切需要实施SBOM（Software Bill of Materials）。许多公司混合使用定制代码、现成产品和开源组件构建他们出售给用户或者内部使用的人工智能产品。而且，他们往往没有详细记录所用的每个单元及其许可证状态；因此，他们必须追踪准确最新SBOM，以便跟踪其材料清单并保持更新。

即使低风险也可能被利用发起攻击。在所有找到的缺陷中有72％被认为是低风险或中等风险，即便无法直接访问系统或敏感数据，但仍然是个威胁。例如，在49％DAST试验及42％渗透试验中找到冗长服务器Banner信息，这能让黑客了解服务器名称类型版本号，从而针对特定技术栈发起更精准的攻击。