康巴什区教体系统双碳教育的智慧使者新思科技发布2022年软件漏洞快照报告

在当今的数字化时代，软件已成为企业与客户之间沟通的主要方式。为了确保安全性，企业不仅需要依赖静态分析和组成分析工具来识别Web应用中的常见缺陷、漏洞和错误配置，还需模拟攻击者探测其运行状态下的Web应用。此外，全面的应用安全测试已成为管理软件风险的重要手段之一。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告总结了对超过2700个目标软件进行4200多次安全测试的结果。这包括了Web应用、移动应用、源代码文件以及网络系统。研究表明，大部分测试采用侵入式“黑盒”或“灰盒”方法，如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)，旨在模拟真实环境中潜在威胁者的行为。

数据显示，82%的目标是Web系统或网络，而13%是移动设备，其余则是源代码或其他网络系统/应用。在这4200多次测试中，新思科技发现95%存在某种形式的漏洞，比去年的调查少2%，而20%属于高危漏洞比去年减少10%，4.5%属于严重漏洞比去年减少1.5%.

此外，这项研究还指出，对于最佳防御策略，最好结合使用广泛可用的工具，如静态分析、动态分析和组成分析，以确保没有任何漏洞出现。例如，在所有目标中有22%暴露于跨站点脚本(XSS)攻击，这是一种影响Web平台最普遍且具有破坏性的高级风险问题。而今年相对于去年所发现的问题数量降低6%，意味着企业正在采取积极措施以减少XSS问题。

Girish Janardhanudu，从新思科技负责软件质量与安全部门提到：“这个报告强调利用如DAST及渗透测试等侵入式黑盒技术可以有效地揭示开发周期内存在的问题。”

除了这些之外，《2022年软件漏洞快照》报告还披露：

在78%的情况下找到了OWASP排名前十名的常见弱点。

应用程序服务器配置错误占据了所有发现到的总体弱点18%，其中大部分为OWASP “A05:2021 - 安全配置错误”。

此外，有21%的情况发生在易受攻击第三方库上，比前一年增加3个百分点，其中包括2021 OWASP Top 10中的“A06:2021 - 易受攻击过时组件”。许多公司混合使用定制代码开源组件及商业现成代码构建他们销售或者内部使用的一切产品。但由于缺乏详细物料清单，他们无法追踪哪些组件用于哪些产品，以及它们许可证版本及补丁状态。因此，他们迫切需要准确最新SBOM以跟踪这些内容。

最后，即使是低风险问题也可能被利用进行恶意活动。在这4200多次检测中72％被认为是不足或平均不足级别，但即便如此也不应忽视，因为一些小故障也有可能导致更大的后果。此外，在49％DAST试验中49％情况下找到服务器Banner信息提供关于服务器名称类型以及版本号等信息给予潜在威胁者发起针对特定技术栈攻势提供基础知识。