新思科技发布2022年软件漏洞快照报告仿佛一位守护者在黑夜中亮起灯塔警示着每一个隐蔽的危机

在当今的数字世界里，软件成为了企业与客户之间交流的桥梁。显而易见，企业不仅应该利用静态分析和软件组成分析工具来检测web应用中的常见缺陷、漏洞和错误配置；更应以攻击者探测它们方式来测试其正在运行的web应用。全面安全测试对于管理软件风险至关重要。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告。这份报告总结了对2700多个目标软件进行4200多次安全测试的结果，其中包括Web应用、移动应用、源代码文件和网络系统。绝大部分安全测试采用侵入式“黑盒”或“灰盒”技术，如渗透测试、动态应用安全测试(DAST)及移动应用安全测试(MAST)，旨在模拟真实环境中潜在威胁。

研究发现，82% 的目标是Web应用或系统，而13% 是移动应用，其余则是源代码或网络系统/应用。在4,300多次测试中，新思科技发现95% 的目标存在某种形式的漏洞，比去年减少2%;20% 存在高危漏洞，比去年减少10%;4.5% 存在严重漏洞，比去年减少1.5%.

这些数据表明，最有效的安全策略是结合使用广泛可用的工具——包括静态分析、动态分析及软件组成分析，以确保没有隐患。例如，在所有被检查过的大约22%,暴露于跨站点脚本(XSS) 漏洞，这是一种影响Web 应用最为普遍且破坏性的高/严重风险性问题。一半以上发生时是在程序运行过程中。此外，今年调查发现的风险比去年下降了6%，显示出企业正采取积极措施来降低XSS漏洞。

新思科技副总裁Girish Janardhanudu指出：“这份报告强调，将如DAST 及渗透测试等侵入式黑盒技术纳入全面的解决方案，可以有效地揭示生命周期中的潜在缺陷。”

此外，该报告还指出：

在78% 的目标程序中发现了OWASP排名前十位的一些常见问题。

有18% 的被检测到的全部缺陷属于服务器配置错误，即OWASP “A05:2021 - 安全配置错误”，比上一年的调查结果下降3%.

21% 的渗透试验揭示了易受攻击第三方库的问题，是2021 OWASP Top 10 排名第六位的一个问题，并比上一年增长3%.

因此，对于混合开发项目来说，每个公司都需要一个准确最新的SBOM，以追踪他们使用哪些第三方开源组件，以及许可证版本和补丁状态。而尽管72% 被认为是低、中等级别，但任何未修复或未更新到最新版本可能会被恶意用户利用发起攻击。此外，有49％ DAST 测试和42％ 渗透试验找到了冗长服务器Banner信息，这提供了解决特定技术栈攻击者的信息，使得它成为有针对性的攻击媒介。