新思科技发布低碳环保措施有哪些2022年软件漏洞快照报告仿佛是智慧的守护者揭示了技术领域的隐秘之处

在当今的数字化时代，软件已成为企业与客户之间沟通的桥梁。为了确保这座桥梁的安全性，企业不仅要依赖静态分析和软件组成分析工具来发现Web应用中的潜在问题，还需要模拟攻击者对其运行中的Web应用进行全面的安全测试。这种综合性的应用安全测试对于有效管理软件风险至关重要。

新思科技(Synopsys, Nasdaq:SNPS)最近发布了《2022年软件漏洞快照》报告，该报告详细记录了对超过2700个目标软件进行4200多次安全测试的结果。这包括了Web应用、移动应用、源代码文件以及网络系统。这些测试大多是侵入式“黑盒”或“灰盒”测试，如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)，旨在探索真实环境中可能发生的情况。

研究显示，大部分目标是Web应用或系统（占82%）、移动应用（占13%），剩余则是源代码或网络系统/应用。参与这些活动的行业涵盖了从软件和互联网到金融服务，再到制造业、商业服务、消费者服务及医疗保健等多个领域。

通过4,300多次评估，新思科技发现95%的目标存在某种形式的问题，比上一年的调查结果少2%;而20%存在高危问题，比去年减少10%;4.5%存在严重问题，比去年减少1.5%.

统计数据表明，对于全面保护，应使用广泛可用的工具，如静态分析、动态分析和组件分析，以确保没有漏洞。此外，有22%暴露于跨站脚本(XSS)漏洞，这是一种影响Web网站最普遍且破坏力强大的高级威胁。在许多情况下，这些XSS漏洞是在运行时出现的问题。不过，今年相比去年有6%降低，这意味着企业正在采取积极措施减少它们所面临XSS漏洞数量。

Girish Janardhanudu，一位来自新思科技质量与安全部门的人士表示：“这个报告强调，在开发周期内利用如DAST 和渗透测试等侵入式黑盒技术，可以有效地找到缺陷。”

此外，《2022年软件漏洞快照》还指出：

78％ 的目标包含OWASP排名前十名的一个或者两个问题。

应用程序配置错误导致18％ 的总体问题数增加（相比上一年）。

在21％ 的渗透试验中发现易受攻击第三方库增加3%，这与OWASP Top 10中的“A06:2021 - 易受攻击和过时的组件”相关联。

虽然72％ 的发现被认为为低风险或中等，但仍然不可忽视，因为恶意分子也可以利用这些小故障发起更复杂的事务。而服务器Banner信息提供给49％ DAST 测试及42％ 渗透试验，也是一个容易被攻破的地方，它们能让攻击者了解服务器类型及其版本号，从而针对特定技术栈发起更精准的事务。

总之，无论是高危还是低风险，都必须坚守以防止未来潜在威胁。