新思科技发布低碳生活举例20个简短报告仿佛一位智者在夜深人静时以软件漏洞的形式编织了2022年的快照

在当今这个数字化和连接化的世界里，软件已经成为企业与客户之间交流的主要工具。为了确保这一交互过程的安全性，企业不仅要依赖于静态分析和软件组成分析工具来检测Web应用中的常见缺陷、漏洞和错误配置，而且还需要像攻击者一样从不同的角度测试其正在运行的Web应用。这是一种全面的应用安全测试方式，它对于管理软件风险至关重要。

新思科技(Synopsys, Nasdaq:SNPS)最近发布了一份名为《2022年软件漏洞快照》的报告，该报告详细地探讨了对超过2700个目标软件进行了4300多次安全测试的结果。这些目标包括Web应用、移动应用、源代码文件以及网络系统。在这项研究中，大部分测试采用了侵入式“黑盒”或“灰盒”技术，如渗透测试、动态应用安全测试(DAST)以及移动应用安全测试(MAST)，旨在模拟黑客如何攻击正在运行的实时环境。

调查显示，在所有4,300多次测验中，95% 的目标存在某种形式的问题，这比去年的结果少了2%；20% 的问题被归类为高危，而相比之下去年减少10%; 4.5% 被评定为严重，但与去年相比有所减少1.5%.

数据表明，要有效地保护我们的系统，我们需要使用各种工具进行广泛可用的静态分析、动态分析以及软件组成分析。此外，研究发现22% 的对象暴露于跨站脚本(XSS)漏洞，这是影响Web平台最常见且具有破坏性的高/严重级别漏洞之一。尽管今年的情况相较于往年有所改善，但仍然是一个值得关注的问题点。

Girish Janardhanudu，从新思科技负责质量与安全部门的事务指出：“我们通过这种全面而深入的人工智能驱动方法，可以更好地理解并识别出潜在的问题。”他强调，“一个全面的解决方案应该包含诸如DAST 和渗透这样的侵入式黑盒技术。”

此外，还有一些其他方面值得注意，比如78% 的对象中发现OWASP排名前十位的问题，其中18% 是由于服务器配置错误造成，比上一年度减少3%. 同样，对于21个渗透试验中的第三方库来说，他们容易受到攻击，这也是2021 OWASP Top 10中的“A06:2021 - 易受攻击和过时的组件”。

最后，即使是低风险问题也可能会被利用以发起攻击。在4300多次试验中，有72% 被认为是低风险或中等风险。这意味着即使不是直接访问系统或敏感信息，也可以用这些问题作为发起攻击的手段。例如，有49%-42％分别在DAST 和渗透试验中发现冗长服务器Banner信息，这让人感到担忧，因为它提供了解决方案名称及其版本号等信息，如果落入不法分子的手里，将会带来额外威胁。