2024年12月15日

新思科技发布低碳环保智慧2022年软件漏洞快照报告揭示了技术防线的脆弱面纱

在当今这个低碳环保的时代,软件正成为企业与客户交流的重要桥梁。为了确保这座桥梁安全无忧,企业不仅要依赖静态分析和组成分析工具来检测常见缺陷、漏洞和错误配置,更应该像黑客探测它们一样,从攻击者的角度全面测试他们的Web应用。这就是为什么全面的应用安全测试成为了管理软件风险的关键手段之一。

新思科技(Synopsys, Nasdaq:SNPS)最近发布了《2022年软件漏洞快照》报告,这份报告总结了对2700多个目标软件进行4300多次安全测试的情况。这些测试包括Web应用、移动应用、源代码文件以及网络系统,以模拟黑客如何在真实环境中攻击正在运行的应用。

研究显示,大部分目标是Web应用或系统,占比82%,而移动应用则占13%。参与测试的行业包括软件与互联网、金融服务等。

通过4300多次测试,新思科技发现95% 的目标存在某种形式的漏洞,比去年少2%; 20%存在高危漏洞,比去年少10%; 而4.5%存在严重漏洞,比去年少1.5%.

结果表明,最有效的手段是使用广泛可用的工具,如静态分析、动态分析和组成分析,以确保没有漏洞。在22% 的总体目标中暴露了跨站点脚本(XSS) 漏洞,这是影响Web最普遍且破坏性最强的大型/严重风险类型之一。幸运的是,这些XSS 漏洞今年比去年减少6%, 表示企业正在采取措施减少其申请中的XSS 漏洞数量。

新思科技安全咨询副总裁Girish Janardhanudu表示:“此报告强调采用侵入式黑盒技术如DAST 和渗透测试,可以有效发现生命周期中的漏洞。一套全面的应用安全方案应该包含这些技术。”

《2022年软件漏伏快照》还揭示:

78% 的目标有OWASP排名前十位的一些问题,其中18% 是服务器配置错误,而剩下的18% 是访问控制失效。

21% 的渗透测试中发现易受攻击第三方库,与去年的调查相比增加3%,反映出需要更精准SBOM追踪。

即使是低风险的问题也可能被利用发起攻击,在72个被认为为低或中等风险的问题中,有49%是在DAST 测试中发现,有42% 在渗透测试中发现。这提醒我们,即便不是直接威胁到数据,也不能忽视任何潜在弱点,因为它们可以作为下一步骤使用。