2024年12月15日

新思科技以环保为主题的图画发布了2022年软件漏洞快照这份报告就像一位守护者警惕着每一个潜在的安全隐

在当今的数字世界里,软件成为了企业与客户之间交流的主要手段。显而易见,企业不仅应该依赖静态分析和软件组成分析工具来识别Web应用中的常见缺陷、漏洞和错误配置;更重要的是,他们还应当以攻击者探测它们方式来测试他们正在运行的Web应用。全面而系统地对应用进行安全测试已经成为管理软件风险的一个关键途径。

新思科技(Synopsys, Nasdaq:SNPS)最近发布了《2022年软件漏洞快照》报告。这份报告详细记录了针对超过2700个目标软件进行4200多次安全测试的情况,其中包括Web应用、移动应用、源代码文件以及网络系统。绝大部分安全测试采用了侵入式“黑盒”或“灰盒”方法,如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST),旨在模拟真实环境中潜在攻击者的行为。

研究结果显示,大约82%的目标是Web 应用或系统,13%是移动应用,其余为源代码或网络系统/应用。在这些4200多次测试中,新思科技发现95%的目标存在某种形式的漏洞,比去年少2%;20%存在高危漏洞,比去年减少10%;4.5%存在严重漏洞,比去年减少1.5%.

这些数据表明,最有效的做法是在利用广泛可用的工具——包括静态分析、动态分析和软件组成分析——来确保没有任何漏洞。例如,在总共4200多次目标中,有22%暴露于跨站脚本(XSS) 漏洞,这是一种影响Web 应用的普遍且具有破坏性的高/严重风险类型。此外,由于企业采取了积极措施,该调查所发现XSS 的数量比上一年降低6%,这意味着这一领域正在向前发展。

新思科技产品质量与安全部门负责人Girish Janardhanudu指出:“这个研究强调了一种全面的方法,即通过使用如DAST 和渗透测试等侵入式黑盒技术,可以有效地揭示整个开发周期中的潜在问题。”

此外,《2022年软件漏洞快照》报告还指出:

在78% 的被评估项目中至少有一个OWASP 排名前十名的问题。

18% 的所有检测到的问题属于服务器配置错误,这是OWASP “A05:2021 - 安全配置错误”的一部分。

发现的问题中有18%归因于“A01:2021 – 访问控制失效”,这是OWASP 2021 Top Ten中的第一个问题,并且比去年的调查结果少1%。

最后,对第三方库材料清单(SBOM)感到紧迫需求。在21% 的渗透测试中发现了易受攻击的第三方库,而这种情况相对于之前增加3%。这一点直接反映到了2021 年 OWASP 排名前十名中的“A06:2021 - 易受攻击及过时组件”。由于许多公司都混合使用定制代码、商业现成代码以及开源组件构建他们销售或内部使用的产品,因此他们需要准确最新SBOM,以便追踪并管理这些组件及其许可证状态。