新思科技发布2022年软件漏洞快照报告展现节能环保图片的智慧守护 cybersecurity 安全

在当今的数字化时代，软件已成为企业与客户之间沟通的主要方式。为了确保安全性，企业不仅需要依赖静态分析和组成分析工具来识别Web应用中的常见缺陷、漏洞和错误配置，还需模拟攻击者探测其运行状态下的Web应用。此外，全面的应用安全测试已成为管理软件风险的重要手段之一。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告总结了对超过2700个目标软件进行4200多次安全测试的结果。这包括了Web应用、移动应用、源代码文件以及网络系统。研究表明，大部分测试采用侵入式“黑盒”或“灰盒”方法，如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)，旨在模拟真实环境中潜在威胁。

调查结果显示，82%的目标是Web应用或系统，而13%则是移动应用，其余为源代码或网络系统/应用。参与这项工作的是来自多个行业的大型公司，如互联网服务提供商、金融机构、制造商和医疗保健组织。

值得注意的是，在4,300多次测试中，新思科技发现95%的目标存在某种形式的漏洞，比去年减少了2%;20%存在高危漏洞，比去年减少10%;而4.5%存在严重漏洞，比去年减少1.5%.

此外，这份报告指出，跨站点脚本(XSS) 漏洞占到了总体发现数的一半之上，是影响 Web 应用最普遍且破坏性的高/严重风险问题。此外，它们往往发生于运行时。尽管如此，对XSS 漏洞数量有所下降，这表明企业正在采取措施以减少它们出现的情况。

Girish Janardhanudu，一位新思科技软件质量与安全部门的高级顾问，将这些数据视作全方位利用DAST 和渗透技术来揭示生命周期中的漏洞的一个强烈提醒。他还指出：“一个全面的方案应该将这些工具纳入其中。”

此外，该报告还指出：

78% 的目标均含 OWASP 排名前十名的问题。

应用服务器配置错误占比18%，主要是OWASP “A05:2021 - 安全配置错误”。

最后，该研究强调了第三方库物料清单(SBOM)迫切需求。在21% 的渗透尝试中发现易受攻击开源库，这比去年的增加3%.

尽管大部分被认为低、中等风险，但仍然可能被利用发起攻击。例如，有49% 的 DAST 测试和42 % 的渗透检测都暴露出了冗长服务器Banner信息，即关于服务器类型版本号等信息，这些信息可以用于针对特定技术栈发起攻击。

综上所述，不仅要关注显著但未修补的问题，更应关注所有潜在弱点，因为即使小问题也能导致巨大的损害。如果没有全面有效地处理这些问题，就会给整个IT基础设施带来威胁，使得企业面临着无法预知范围内潜在损失的事实。