新思科技以环保主题的绘画作品之姿发布了2022年软件漏洞快照报告
在当今的数字世界里,软件成为了企业与客户之间交流的主要手段。显而易见,企业不仅应该依赖静态分析和组成分析工具来检测Web应用中的常见缺陷、漏洞以及错误配置;更重要的是,还应以攻击者探测它们方式测试其正在运行的Web应用。全面安全测试是现代管理软件风险的手段之一。
新思科技(Synopsys, Nasdaq:SNPS)最近发布了《2022年软件漏洞快照》报告。这份报告回顾了对2700多个目标软件进行了4300多次安全测试的结果,这包括Web应用、移动应用、源代码文件和网络系统。绝大部分安全测试采用侵入式“黑盒”或“灰盒”技术,如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST),旨在模拟黑客如何攻击实际运作中的应用。
研究显示,82% 的目标是Web 应用或系统,而13% 是移动应用,其余为源代码或网络系统/应用。参与这次调查的行业涵盖了从软件到互联网再到金融服务等众多领域。
在4,300次以上的测试中,新思科技发现95% 的目标存在某种形式的漏洞,比去年的调查少2%;20% 存有高危漏洞,比去年减少10%;而4.5% 存有严重漏洞,比去年减少1.5%.
这些数据表明,最有效的心理防线是在利用广泛可用的工具——包括静态分析、动态分析和组成分析——来确保没有漏洞存在。在总体上,有22% 的被测对象暴露于跨站脚本(XSS) 漏洞,这是一种影响Web 应用的普遍且破坏性的高/严重风险类型。此类XSS 漏洞通常发生在程序执行时。而好消息是,与去年的比较相比,该年度所发现风险下降6%,意味着企业正采取积极措施来减少他们项目中XSS 漏洞数量。
新思科技软件质量与安全部门安全咨询副总裁Girish Janardhanudu表示:“此报告强调,以DAST 和渗透测试等侵入式黑盒技术可以有效地揭示开发周期中的潜在问题。一项全面的应对策略应当将这些先进工具纳入其中。”
《2022年软件漏洞快照》还指出:
78% 的被测对象中至少含有一项OWASP Top 10 中排名靠前的弱点。在该调查中,大约18% 的所有检测到的问题都归咎于服务器配置失误,并以OWASP “A05:2021 - 安全配置错误”为主。此外,在21% 的渗透试验中发现了易受攻击第三方库,这比去年的数据增长3%,反映出201 OWASP Top 10 排名前列名单上的“A06:2021 - 易受攻击和过时组件”。
由于许多公司使用定制代码、商业现成产品及开源包合并创建他们销售或内部使用的产品,他们需要准确最新版物料清单,以追踪使用哪些第三方及其许可证状态。但遗憾的是,一半以上被测对象遭遇低级别或普通级别威胁,即便如此,如果未能妥善处理这些小问题,它们仍然可能成为恶意活动的一条路径进入。在49% DAST 测试及42% 渗透试验中,都有人工安装过长服务器Banner信息,使得服务器名称类型及版本号等详细信息公开给潜在攻击者,从而允许针对特定技术栈发起精心设计好的攻势。