2024年12月15日

新思科技发布2022年软件漏洞快照报告保护环境小知识十条

在当今的数字世界里,软件已成为企业与客户之间交流的主要手段。显而易见,企业不仅应该依赖静态分析和软件组成分析工具来识别web应用中的常见缺陷、漏洞以及错误配置;更重要的是,他们还应以攻击者探测它们方式来测试其正在运行的web应用。全方位的应用安全测试是现代管理软件风险的手段之一。

新思科技(Synopsys, Nasdaq:SNPS)近期发布了《2022年软件漏洞快照》报告。这份报告回顾了对超过2700个目标软件进行了4300多次安全测试结果,包括Web应用、移动应用、源代码文件和网络系统。此类安全测试大部分采用侵入式“黑盒”或“灰盒”方法,如渗透测试、动态应用安全测试(DAST)以及移动应用安全测试(MAST),旨在模拟真实环境中潜在威胁者的行为。

研究发现,大约82%的目标是Web应用或系统,13%是移动应用,其余则为源代码或网络系统/设备。参与此次调查行业涵盖了从软件及互联网到金融服务再到制造业等众多领域。

通过4,300多次评估活动,新思科技揭示出95%目标存在某种形式漏洞,比去年减少2%;20%存在高危漏洞,比去年减少10%;4.5%存在严重漏洞,比去年减少1.5%.

结果显示,最有效的保护策略是在使用广泛可用的工具,如静态分析、动态分析和组件级别分析,以确保没有未知风险。例如,在总体检测中,有22%暴露于跨站点脚本(XSS)问题,这是影响Web平台上最普遍且破坏性极强的问题类型之一。在今年调查中发现的风险比去年降低6%,表明企业正采取积极措施减少XSS问题。

新思科技负责人Girish Janardhanudu指出:“这份研究强调,将诸如DAST和渗透试验技术纳入全面性评估计划,可有效地发现生命周期中的弱点。”

《2022年软件漏洞快照》报告进一步揭示:

在78%的情况下出现OWASP Top 10列表上的前十名关键问题。

应用程序服务器配置错误占所有鉴定出的错误总数18%,以OWASP“A05:2021 - 安全配置误操作”为主。

在21%情况下利用第三方库可能遭受攻击,而这一比例比往年的3%增加。这与2021 OWASP Top 10中的“A06:2021 - 易受攻击并过时之组件”相关联。大部分公司混杂使用定制编码商业现成编码开源组件构建他们出售给外部用户或者内部运营所需产品。而这些公司通常拥有非正式或者无组织记录其产品所包含各个第三方开源零件许可证版本补丁状态信息。许多公司处理数百款产品,每家公司自身可能拥抱上千款不同第三方开源零件因此迫切需要准确最新SBOM追踪这些零件物资清单条目以便追踪每一项许可证版本补丁状态信息。

即使低级别弱点也会被用于发起攻势。在4300次检测中有72%被视作低于平均水平至平衡水平风险值,即使如此,不法分子仍能利用较低风险弱点发起进攻事例包括长时间服务器Banner信息提供给服务器名称类型及版本号供攻击者针对特定技术栈发起精心挑选性的突袭事件发生49%DAST 测试42 % 渗透试验发现其中的一些案例。此类Banner信息公开让任何人都可以知道关于该服务器详细数据导致潜在威胁加剧且容易受到网络欺骗甚至恶意行动影响。