绿意盎然的儿童画笔勾勒出环保主题新思科技以2022年软件漏洞快照为画布绘制出防御黑客侵袭的防线

在软件的世界里，企业与客户之间的交互就像画家与他们的画布一样不可或缺。为了确保这段交流过程不受黑客的侵扰，就如同儿童用绿色笔画出环保主题一般，企业需要使用各种工具和技术来检测和防御常见的漏洞和错误配置。这包括静态分析、软件组成分析以及模拟攻击者方式进行测试，以保护其正在运行的Web应用免受侵害。在这个全球化的大舞台上，全方位的应用安全测试已经成为管理软件风险的一种重要手段。

新思科技，在近日发布了《2022年软件漏洞快照》报告，这份报告详细记录了对2700多个目标软件进行4300多次安全测试的情况。这些测试包括Web应用、移动应用、源代码文件和网络系统，并采用了“黑盒”或“灰盒”的侵入式测试方法，如渗透测试、动态应用安全测试(DAST)以及移动应用安全测试(MAST)，旨在探测真实环境中潜在威胁。

研究显示，大部分被检验的是Web应用或系统（占82%），接着是移动应用（占13%），剩余则是源代码或网络系统/应用。参与此次调查的一些行业有软件和互联网、金融服务业商业服务业制造业消费者服务业及医疗保健。

通过4,300多次深入检查，新思科技发现95%目标存在某种形式漏洞，比去年少2%，而20%存在高危漏洞比去年减少10%，严重漏洞则有4.5%，比去年少1.5%。

结果表明，要确保无漏洞，最好的做法是利用广泛可用的工具，如静态分析、动态分析及组成分析。而22%暴露于跨站点脚本(XSS)攻击，其中许多发生在运行时，而今年调查结果中的风险降低6%，显示企业正采取措施减少XSS问题。

Girish Janardhanudu，新思科技software quality and security部安全咨询副总裁表示：“这份报告强调使用DAST等侵入式黑盒技术可以有效发现生命周期中的问题。”

此外，该报告还指出：

78%目标中出现OWASP排名前十名的问题；18%为配置错误，其中以OWASP“A05:2021 - 安全配置错误”为主；18％归类于2021 OWASP Top 10中的“A01:2021 – 访问控制失效”。

然而，有迫切需求创建并维护精确最新完整物料清单(SBOM)，因为21％渗透检测中发现易受攻击第三方库数量增加3%，对应于OWASP“A06:2021 - 易受攻击过时组件”。

尽管大部分已知低、中风险均可能被利用发起攻击，但仍需警惕，因为72％识别出的弱点属于这一范围。此外，一半以上DAST及42％渗透检测揭示服务器Banner信息，为潜在攻势提供线索。