让绿色走进生活的新思科技发布了2022年软件漏洞快照的报告就像一位守护者用智慧的眼光警示着每一个角落

在当今的数字世界里，软件成为了企业与客户之间交流的重要桥梁。显而易见，企业不仅应该依赖静态分析和组件分析工具来检测Web应用中的常见缺陷、漏洞以及错误配置；还应当模仿攻击者探寻它们运行状态的方式，以全面测试其正在运作的Web应用。这一全方位的安全性测试已成为现代管理软件风险的一个关键手段。

新思科技（Synopsys, Nasdaq:SNPS）最近发布了《2022年软件漏洞快照》报告，该报告详细记录了对超过2700个目标软件进行了4300多次安全性的深入探测，这些目标包括Web应用、移动应用、源代码文件和网络系统。绝大部分安全性测试采用了侵入式“黑盒”或“灰盒”技术，如渗透测试、动态应用安全测试（DAST）以及移动应用安全测试（MAST），旨在模拟真实环境中潜在威胁者的行为。

研究结果显示，大约82% 的目标是Web应用或系统，而13% 是移动应用，其余则为源代码或网络系统/应用。参与此类检查的大型行业包括软件开发、互联网服务提供商、金融机构、商业服务公司、中资制造业、高端消费品及医疗保健领域。

经过4,300多次严格检验后，新思科技发现95% 的这些被试对象存在某种形式的问题，比去年的调查数据下降2%;其中20% 存有高危问题比上一年减少10%，而4.5% 则包含严重问题数值较去年减少1.5%.

这份报告强调，将使用广泛可用的工具，如静态分析动态分析以及组件结构分析，可以帮助确保没有任何隐患。例如，在总共的4,300多次考察中，有22% 展现出跨站脚本(XSS)漏洞，这是影响Web平台最普遍且具破坏性的高/严重级别风险之一。大多数XSS事件发生于程序执行时。而好消息是今年调查发现的情况相较于往年有所改善，即便如此许多仍需采取积极措施以减少其程序中的XSS隐患。

新思科技质量与安全部门负责人Girish Janardhanudu指出：“该研究报告突出了通过DAST和渗透测试等侵入式黑盒技术可以有效地揭示开发生命周期中的所有弱点。此外，一套完整应对方案应将这些类型工具融合进去。”

《2022年软件漏洞快照》进一步揭示：

78% 的被试项目中都出现OWASP Top 10排名前列的问题。在涉及到的总体漏洞数量中占据18%，主要集中于OWASP “A05:2021 - 安全配置失误”。另外18% 可归因于“A01:2021 – 访问控制失效”，但比去年的数据要低1%

迫切需要编制一个清晰明确的地基材料清单(SBOM)。21％ 渗透检验揭示容易受到攻击第三方库增加3%，反映到 2021 年 OWASP 排名前十名列表中的“A06:2021 - 易受攻击并过时组件”。大多数企业结合自行编写代码、大量现成产品和开源资料构建他们销售或内部使用的程序，但通常缺乏正式化物料清单来追踪他们所用各项组件许可证版本补丁情况。此类公司可能拥有几百种不同软硬件产品，每家公司自身也可能拥有一千以上各种第三方开源部件，因此，他们急需准确最新SBOM以有效跟踪这些部件信息。

即使是一般低风险故障，也可能遭利用用于发起攻击。在4300+个被检查项目中72％ 被认定为低至中等风险。这意味着虽然攻击者无法直接利用这些找到的弱点访问系统敏感数据，但这并不代表那些潜在威胁轻视它，因为恶意分子能从低至平均水平上的薄弱环节发起攻势。不过，不论如何，对每一种潜在威胁都必须保持警觉。