新思科技发布2022年软件漏洞快照报告倾听绿色发展的论文之声

在当今的数字世界里，软件成为了企业与客户之间交流的主要手段。显而易见，企业不仅应该依赖静态分析和组成分析工具来检测Web应用中的常见缺陷、漏洞以及错误配置；还应当以攻击者探测其方式进行测试，以确保其正在运行的Web应用能够抵御各种威胁。全面的应用安全测试已成为管理软件风险的一个关键途径。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告详细记录了对超过2700个目标软件进行了4300多次安全测试的结果。这包括Web应用、移动应用、源代码文件和网络系统。绝大部分安全测试采用侵入式“黑盒”或“灰盒”技术，如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)，旨在模拟真实环境中潜在攻击者的行为。

调查显示，大约82%的目标是Web服务或系统，而13%是移动服务，其余为源代码或网络系统/服务。参与这次调查的大型行业包括软件开发商和互联网公司、金融机构、商业咨询公司、制造业者及消费品提供商，以及医疗保健领域。

通过4,300多次全面检查，新思科技发现95%的目标存在某种形式的问题，比上一年减少2%;其中20%被认为是高危问题，比去年减少10%;而4.5%则属于严重问题，比去年减少1.5%.

这些数据表明，对于确保没有漏洞，最有效的手段是在使用广泛可用的工具——包括静态分析动态分析以及组件性分析。此外，有22%的情况揭示了跨站脚本(XSS)问题，这是一个影响Web服务最普遍且破坏性的高/严重风险问题。而令人振奋的是，与去年的相比，这些风险下降6%，说明企业正采取积极措施来防止XSS出现。

新思科技负责人Girish Janardhanudu指出：“此研究强调，在生命周期中发现漏洞可以利用如DAST和渗透测试等侵入式黑盒技术。”他补充道，“一个全面的策略应将这些工具纳入其中。”

《2022年软件漏洞快照》报告还披露：

78％ 的目标有OWASP排名前十名的问题；18％ 是由于服务器配置错误导致，并以OWASP “A05:2021 - 安全配置错误”为主，其中17％ 可归于 “A01:2021 – 访问控制失效”。

此外，迫切需要实施材料清单(SBOM)：21％ 的渗透检测揭示了易受攻击第三方库，这与OWASP 排名前十名中的“A06:2021 - 易受攻击并过时”的条目相关。在许多情况下，大型组织混合使用定制代码、中间件及开源组件，但他们通常缺乏详细信息关于所使用哪些第三方或开源组件，以及它们许可证状态如何。此类无序可能使得追踪数百个不同程序及服务变得困难，因此对于最新SBOM至关重要。

即便低级别的问题也会被利用发起攻击。在所有发现的问题中，有72％ 被评估为低风险或中等风险，即便如此，它们仍然具有潜在威胁，因为恶意分子可能会利用这些低级别问题发起更复杂的事务。一旦掌握服务器Banner信息（49 % DAST 测试和42 % 渗透检测），就能针对特定的技术栈构建精准攻势，从而提高成功率。