新思科技发布低碳生活的简单图片2022年软件漏洞快照报告揭示了软件安全领域的隐秘面纱

在当今这个低碳生活的简单图片时代，软件已经成为大多数企业与客户交互的方式。显而易见，企业不仅应该使用静态分析和软件组成分析工具来测试web应用中的常见缺陷、漏洞和错误配置；而且还应该以攻击者探测它们的方式来测试其正在运行的web应用。全方位的应用安全测试是管理软件风险的一种重要手段。

新思科技(Synopsys, Nasdaq:SNPS)近日发布了《2022年软件漏洞快照》报告。这份报告审查了对 2,700多个目标软件进行了4,300多次安全测试的结果，包括Web应用、移动应用、源代码文件和网络系统（即软件或系统）。大部分安全测试采用侵入式“黑盒”或“灰盒”技术，如渗透测试、动态应用安全测试 (DAST) 和移动应用安全测试 (MAST)，旨在模拟真实环境中恶意分子的行为。

研究发现，82% 的目标是 Web 应用或系统，而13% 是移动应用，其余为源代码或网络系统/应用。参与这项调查的行业包括软件和互联网服务、金融服务业、商业咨询、制造业、高消费品与服务以及医疗保健领域。

通过4,300次以上试验，新思科技发现95% 的目标存在某种形式的问题（比去年的调查减少了2%）；20% 存在高危问题（比去年减少10%）；4.5% 存有严重问题（比去年减少1.5%）。

数据显示，最有效的手段是利用广泛可用的工具——包括静态分析、中间状态分析以及组件结构化检查，以确保没有潜在威胁。例如，在总体评估中，有22%面临跨站脚本(XSS)攻击，这是影响Web平台最普遍及破坏性的高级风险问题之一。此外，大量XSS出现在程序运行时出现。在好消息方面，比上一年更低6%，表明公司正采取积极措施降低其产品中的XSS隐患。

新思科技负责质量与安全部门Girish Janardhanudu指出：“此报告强调采用诸如DAST及渗透技术等全面黑盒检测，可以有效揭示生命周期中的漏洞。”他补充道，“一个全面的应对方案应当将这些方法融入其中。”

《2022年软件漏洞快照》还展示：

在78％目標應用中發現OWASP前十名問題。

應用與服務器設定錯誤占總體問題比例為18％，主要由於OWASP “A05:2021 - 安全設定錯誤”。

強烈需要軟件物料清單(SBOM)：21％測試顯示易受攻擊第三方庫增加3%，對應於2021 OWASP排名前十之“A06:2021 - 易受攻擊過時組建”。

尽管绝大多数被认为为低风险或中等风险，但72％所发现的问题仍然具有潜在威胁，因为犯罪分子可以利用这些看似无害的问题发起攻击。而且，这些信息也可能提供给他们关于特定技术栈信息，从而发起针对性攻击，如服务器Banner信息，它们被49％ DAST 测试和42％ 渗透 测试所发现。此类信息公开了一些关键细节，如服务器名称类型及其版本号，为未授权访问提供了解释窗口，使得未来可能会遭到更深层次袭击。