2024年12月15日

新思科技发布2022年软件漏洞快照报告文明健康绿色环保宣传栏如同守护者警惕黑暗用智慧之光照亮未来

在当今的数字世界里,软件成为了企业与客户之间交流的桥梁。显而易见,企业不仅应该依赖静态分析和代码组合分析工具来检测Web应用中的常见缺陷、漏洞以及错误配置;还应当以攻击者探索它们方式进行测试,以确保其正在运行的Web应用能够抵御各种威胁。全方位的应用安全测试已成为现代管理软件风险的一个关键手段。

新思科技(Synopsys, Nasdaq:SNPS)最近发布了《2022年软件漏洞快照》报告,该报告总结了对超过2700个目标软件进行4000多次安全测试的结果,这些目标包括Web应用、移动应用、源代码文件和网络系统。这些测试主要采用侵入式“黑盒”或“灰盒”方法,如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST),旨在模拟真实环境中潜在攻击者的行为。

研究显示,82%的目标是Web应用或系统,而13%是移动应用,其余则为源代码或网络系统/设备。参与这项工作的一些行业包括软件开发商和互联网服务提供商、金融服务业、商务咨询公司、大型制造业公司、中小型消费者服务机构以及医疗保健领域。

通过4,300多次安全评估,新思科技发现95%的评估对象存在某种形式的问题(相比去年的调查结果有所下降);其中20%的问题被认为是高危(较去年减少10%),而4.5%的问题被视作严重问题(较去年减少1.5%)。

数据表明,最有效的手段之一就是利用广泛可用的工具——包括静态分析、二进制分析和组件扫描——以确保没有未知漏洞存在于任何一个环节。在所有评估项目中,有22%遭受了跨站脚本(XSS)攻击,这是一种影响Web平台最普遍且破坏性极强高级风险问题之一。此外,大部分XSS发生在程序运行时。一条好消息是,与上一年相比,此次调查发现风险水平有6个百分点下降。这意味着企业正采取积极措施来减少其产品中的XSS问题。

新思科技负责安全咨询的人员Girish Janardhanudu指出:“这个报告强调了一种全面的应对策略,即使用如DAST及渗透测试等技术来揭示开发周期中可能出现的问题。”

此外,《2022年软件漏洞快照》还揭示:

在78%的情况下发现了OWASP Top 10列表中的前十名问题。

应用服务器配置错误占据总体问题数量18%,主要集中于OWASP “A05:2021 - 安全配置错误”,并且与去年的数据相比有所下降。

有18%的问题属于“A01:2021 – 访问控制失效”,这一比例也低于上一年度。

对于21%情况下的渗透试验,在易受攻击第三方库方面发现了新的信息泄露机会,比起往年增加3个百分点。这反映出了2021 OWASP Top 10排名第六名:“A06:2021 - 易受攻击及过时组件”的重要性。大多数公司都混合使用定制化代码、新颖现成代码及开源组件构建他们销售或内部使用产品。而大多数这样的企业缺乏详细物料清单,没有准确记录哪些第三方/开源组件用于何处,以及这些许可证状态如何。此类庞大的公司可能拥有数百款不同类型APP或者软体系统,每家公司内可能包含上千个各自不同的第三方开源资源,因此迫切需要精确最新SBOM以追踪这些资源。

即使低风险的小错也会被恶意用户利用发起攻势。在所有找到的bug中,有72%被归类为低至中等级别。尽管如此,这些bug并不无足轻重,因为不法分子甚至可以利用这种一般性的弱点发起更多更复杂的事故行动。例如,在49% DAST 测试和42% 渗透试验中找到冗长服务器Banner信息供潜在攻击者识别特定技术栈进行针对性的打击行动。