新思科技发布2022年软件漏洞快照报告犹如一位守护者手中闪耀的宝剑而小学生环保照片大全图片则是这场战

在当今的数字世界里，软件成为了企业与客户之间交流的重要桥梁。显而易见，企业不仅应该依靠静态分析和软件组成分析工具来探测Web应用中的常见缺陷、漏洞以及错误配置；更应该模仿攻击者对其正在运行的Web应用进行全面测试。全方位的应用安全测试已成为管理软件风险的一个关键手段。

新思科技(Synopsys, Nasdaq:SNPS)最近发布了《2022年软件漏洞快照》报告，这份报告回顾了对超过2700个目标软件进行了4300多次安全测试的结果。这包括Web应用、移动应用、源代码文件和网络系统。在这项工作中，大部分安全测试采用了侵入式“黑盒”或“灰盒”方法，如渗透测试、动态应用安全测试(DAST)以及移动应用安全测试(MAST)，旨在模拟潜在威胁者如何攻击实际运行中的系统。

研究表明，82% 的目标是Web服务或系统，13% 是移动设备，其余为源代码或网络系统/服务。此类检测涵盖了从软件至互联网到金融服务、商业运作、制造业及医疗保健等众多行业。

通过4,300多次深入检查，新思科技发现95% 的目标存在某种形式的漏洞（比去年的调查少2%）；20% 存有高危险性问题（较去年减少10%）；4.5% 存有严重问题（较去年减少1.5%）。

数据显示，最有效的手段之一是使用广泛可用的工具，如静态分析、动态分析和组件构建，以确保没有隐患。例如，在所有被审查程序中，有22%暴露于跨站点脚本(XSS)问题。这是一个影响网页最普遍且破坏性最强大的高/严重级别的问题。大好消息是，此年度调查所揭示出的风险比上一年降低6%，说明公司正采取积极措施减少XSS问题。

新思科技副总裁Girish Janardhanudu指出：“这一报告再次强调，即使采用如DAST和渗透类型黑盒技术也能有效地揭示生命周期内出现的问题。”

此外，《2022年软件漏洞快照》还发现：

78％的目标产品中包含OWASP排名前十名的问题。

应用程序与服务器配置错误占总体发现问题18％，以OWASP“A05:2021 - 安全配置错误”为主。

在21％的情况下，对第三方库进行渗透检验时找到易受攻击点，比上一年度增加3%，反映出2021 OWASP Top 10排名中的“A06:2021 - 易受攻击及过时组件”。

公司急需建立精确最新物料清单(SBOM)，以追踪他们使用的大量第三方及开源组件，并追踪许可证状态。此外，即便低风险可能被利用发起攻势，在72％情况下，被认为是低、中等风险，但这些仍然需要关注，因为即使不能直接访问数据，也可以作为发起其他类型攻击的一步棋子。而冗长服务器Banner信息则提供了一些细节给予针对性的打击机会。