新思科技发布低碳环保产品有哪些2022年软件漏洞快照报告仿佛是智慧的守护者揭示了技术领域的隐秘之处

在当今的数字化时代，软件已成为企业与客户之间沟通的主要方式。为了确保安全性，企业不仅需要依赖静态分析和组成分析工具来识别Web应用中的常见缺陷、漏洞和错误配置，还需模拟攻击者探测其运行状态下的Web应用。此外，全面的应用安全测试已成为管理软件风险的重要手段之一。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告总结了对超过2700个目标软件进行4200多次安全测试的结果。这包括了Web应用、移动应用、源代码文件以及网络系统。研究表明，大部分测试都是侵入式“黑盒”或“灰盒”测试，如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)，旨在模拟真实环境中潜在威胁者的行为。

数据显示，82%的目标是Web系统或网络，而13%是移动设备，其余则是源代码或其他网络系统/服务。在这4200多次试验中，新思科技发现95%存在某种形式的漏洞，比去年少2%，而20%属于高危漏洞比去年减少10%，4.5%为严重级别比去年降低1.5%.

此调查揭示了最佳方法：利用广泛可用的工具如静态分析、动态分析及组成分析，以确保无任何隐患。例如，在所有被检测到的22%处暴露于跨站脚本(XSS)漏洞，这是一种影响Web系统最普遍且破坏性的高/严重风险类型。幸运的是，与去年的数据相比，这些风险水平下降6%,说明企业正在采取积极措施以减少XSS问题。

Girish Janardhanudu指出：“这一研究强调使用DAST和渗透等黑盒技术可以有效地揭示生命周期中的弱点。”他建议将这些技术融入全面的应对方案中。

《2022年软件漏洞快照》还披露：

78% 的目标含有OWASP排名前十位的问题。

应用服务器配置错误占据18%，尤其以OWASP“A05:2021 - 安全配置错误”为主。

21％ 渗透试验揭示易受攻击第三方库增加3%，即使A06:2021 - 易受攻击过时组件也会造成问题。

虽然72％ 的发现被认为是低至中等风险，但仍可能遭到利用，因为它们提供了解决特定技术栈挑战的情报给恶意用户。

综上所述，无论风险如何，都必须保持警觉，并采取措施防范各种潜在威胁。