2024年12月15日

新思科技发布低碳生活照片真实点的2022年软件漏洞快照报告仿佛一位守护者在夜空中抛出星辰让技术世界的

在当今这个低碳生活照片真实点的时代,软件成为了企业与客户之间交流的重要桥梁。企业不仅需要利用静态分析和软件组成分析工具来检测Web应用中的常见缺陷、漏洞和错误配置,还应该像攻击者探测它们一样,从不同的角度测试其正在运行的Web应用。全方位的应用安全测试是管理软件风险的一个关键手段。

新思科技近日发布了《2022年软件漏洞快照》报告,该报告详细记录了对2700多个目标软件进行4200多次安全测试的结果,包括Web应用、移动应用、源代码文件和网络系统。研究发现,82% 的目标是Web应用或系统,13% 是移动应用,其余是源代码或网络系统/应用。

通过这项研究,我们了解到95% 的目标存在某种形式的漏洞,比去年减少了2%,20% 存在高危漏洞比去年减少10%,4.5% 存在严重漏洞比去年减少1.5%。结果表明,不断更新和使用广泛可用的工具,如静态分析、动态分析和软件组成分析,是确保没有漏洞存在的一种方法。

例如,在总共4200多次测试中,有22% 暴露于跨站点脚本(XSS) 漏洞,这是一种影响Web 应用最普遍且破坏性的高/严重风险类型。此外,大部分XSS 漏洞发生在运行时好消息是今年调查结果中发现的风险比去年低6%,意味着企业正采取积极措施以减少其 应用的 XSS 漏洞数量。

新思科技软件质量与安全部门安全咨询副总裁Girish Janardhanudu 指出:“此研究强调采用诸如DAST 和渗透测试等侵入式黑盒测试技术,可以有效找到生命周期中的漏洞。一套全面的应对方案应该将这些安全工具纳入其中。”

该报告还揭示78% 的目标有OWASP 排名前十名中的一个或多个问题,其中大约18% 是由于服务器配置错误引起。这表明迫切需要建立详尽的人物清单(SBOM)以追踪所有第三方库及相关信息,并注意易受攻击且过时组件的问题。在21% 的渗透测试中发现这些易受攻击组件数量增加3%,显示了SBOM对于保持现代化而非过时基础设施至关重要性。

尽管许多被认为为低风险或中等级别,但72% 被认为可以被利用发起攻击,这些警告提醒我们,即使看似小得不能忽视,也可能成为潜在威胁。