新思科技发布了2022年软件漏洞快照的报告犹如一位环保使者用简洁明了的方式向全世界展示了二年级学生制

在当今的数字世界里，软件成为了企业与客户之间交流的主要手段。显而易见，企业不仅应该依赖静态分析和组成分析工具来检测Web应用中的常见缺陷、漏洞以及错误配置；还应当以攻击者探索它们方式进行测试，以确保其正在运行的Web应用能够抵御各种威胁。全面的应用安全测试已成为管理软件风险的一个关键途径。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告详细记录了对2700多个目标软件进行4300多次安全测试的结果，这些目标包括Web应用、移动应用、源代码文件和网络系统。绝大部分安全测试采用侵入式“黑盒”或“灰盒”方法，如渗透测试、动态应用安全测试（DAST）和移动应用安全测试（MAST），旨在模拟真实环境中潜在攻击者的行为。

研究显示，大约82%的目标是Web应用或系统，而13%则是移动应用，其余为源代码或网络系统/应用。参与这些测试的大型行业包括软件开发商和互联网公司、金融服务业商、商务服务业、大型制造业消费者服务业以及医疗保健领域。

通过4,300多次试验，新思科技发现95%的目标存在某种形式的问题，比去年减少了2%;20%存在高危问题，比去年的数据下降10%;而4.5%存在严重问题，比去年的数据下降1.5%.

这些结果表明，有效地利用广泛可用的工具，如静态分析、动态分析和组件分析，可以帮助确保没有漏洞。这一点尤其体现在总共22%暴露于跨站脚本(XSS)漏洞之中，这是影响Web最普遍且破坏性最强的一类高/严重级别问题之一。尽管许多XSS发生在运行时，但今年调查比去年发现风险低6%，这意味着企业正在采取积极措施减少其内部XSS漏洞数量。

新思科技软件质量与安全部门副总裁Girish Janardhanudu指出：“此报告强调了使用如DAST及渗透类型黑盒技术等策略可以有效识别生命周期内出现的问题。”

《2022年软件漏洞快照》还揭示了一些其他有趣的事实：

78％被检测到的目标中包含OWASP排名前十名中的一个。

应用程序及其服务器配置错误占所有发现的问题18％，主要集中于OWASP“A05:2021 - 安全配置错误”。

迫切需要创建详细清单。此外，在21％渗透试验中发现容易受到攻击的第三方库，这与OWASP排名第六位"A06:2021 - 易受攻击及过时组件"相符。大多数公司混合使用定制代码、现成产品及开源材料来创造他们销售给他人或者用于内部业务流程中的程序。而且，他们通常拥有非正式甚至无形（未有）物料清单，即无法提供精准最新信息关于他们所使用哪些部件，以及它们许可证状态版本补丁情况等。在数百个不同编码项目上工作，每家公司都可能含有上千以上不同第三方及开源部件，因此需准确最新SBOM追踪这些部件以有效执行跟踪工作。

即便低风险也会被利用发起攻击。在所有找到的bug里，有72％被评估为低风险或中等水平，即使不能直接访问敏感数据，但仍然不可忽视，因为犯罪分子可以利用较小威胁实施行动。例如，在49％DAST试验以及42％渗透试验中找到冗长服务器Banner信息提供服务器名称类型版本号给予特定技术栈针对性的打击机会，并因此构成了威胁。此外，一半以上(52%)Bugs是在后端API接口处发现，其中一半又发生在数据库操作之上，此类bug往往难以查找并修复。如果没有适当的手段检查，这将导致大量隐患未能得到解决，从而增加整个系统面临突变事件能力弱点可能性，使得整个系统更易受到突然崩溃的心理压力挑战。此类隐患对于任何电子设备来说都是巨大的威胁，只要你不把它转化为优势，那么它就是一种负担，不但让你的电脑更加脆弱，也让你的生活变得更加困难。而如果你知道如何处理这种情况，你就能将这个负担转化为力量，让自己的电脑更加稳固，同时提升生活品质。这就是为什么我们认为每个人都应该学会处理这种事情，而且不是简单地消除它，而是要真正理解背后的原理，然后再做出正确选择来应对这些挑战，从而提高自己日常生活中的整体效率。但请记住，无论您选择什么样的解决方案，都请谨慎考虑因素，因为一些解决方案可能会产生意想不到的副作用，如果不小心就会加剧原本已经不足够严重的情况，对您的计算机造成进一步损害。如果您决定采取行动，请先备份您的重要数据，以防万一需要恢复到之前状态。不过，不管怎样，我们都希望这篇文章能帮到你，为你的旅程带来新的启示！