2024年12月15日

新思科技赋能智慧发布2022年软件漏洞快照报告守护数字安全如同守护环境400字优秀作文免费

在当今的数字世界里,软件成为了企业与客户之间交流的重要桥梁。显而易见,企业不仅应该依赖静态分析和软件组成分析工具来识别Web应用中的常见缺陷、漏洞和错误配置;更应以攻击者探测它们方式测试其正在运行的Web应用。全面安全测试是现代管理软件风险的手段之一。

新思科技(Synopsys, Nasdaq:SNPS)最近发布了《2022年软件漏洞快照》报告。这份报告回顾了对2700多个目标进行4300多次安全测试的结果,这包括了Web应用、移动应用、源代码文件以及网络系统。在这些安全测试中,大部分是侵入式“黑盒”或“灰盒”测试,如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST),旨在模拟潜在攻击者的行为,以揭示真实环境中可能发生的情况。

调查发现,82% 的目标都是Web应用或系统,而13% 是移动应用,其余则为源代码或网络系统/应用。参与这次研究的行业包括软件和互联网、金融服务业、商业服务业、制造业、消费者服务业及医疗保健。

通过4,300多次深入检查,新思科技发现95% 的目标存在某种形式的问题,比去年的调查结果减少了2%;其中20% 是高危问题,比去年减少10%;而4.5% 是严重问题,比去年减少1.5%.

数据表明,最有效的防护策略是结合使用广泛可用的工具:静态分析技术、中间状态分析以及组件构建性分析,以确保没有隐藏的问题存在。例如,在总共2400个被审查对象中,有22%暴露于跨站脚本(XSS)威胁,这是一种影响最普遍且破坏力最强高/严重级别风险漏洞类型之一。大部分XSS都出现在程序运行时触发。此好消息是在今年调查报告中出现得比上一年降低6%,显示企业正积极采取措施来减轻他们程序中的XSS隐患。

新思科技质量与安全部门安全咨询副总裁Girish Janardhanudu指出:“这一研究报告强调采用如DAST等侵入式黑盒技术可以有效地揭示生命周期内存在的一些未知风险。”他还提到:“一个全面的计划应该将这些工具纳入考虑。”

此外,《2022年软件漏洞快照》还指出:

78% 的被检测到的项目中包含OWASP排名前十名的问题,其中18%属于服务器配置错误,与去年的3%相比有所下降,并以OWASP “A05:2021 - 安全配置错误”为主;另外18%归类为2021 OWASP Top 10中的“A01:2021 – 访问控制失效”,较去年的1%有所下降。

迫切需要创建详细清单记录所有使用过的第三方库。在21%的渗透试验中发现容易受攻击或过时库数量增加至21%,与前一年的18相比增加3%,并且大多数公司混合使用定制代码、三方现成代码及开源组件,但他们通常没有详细记录每个组件及其许可证版本状态,从而无法准确追踪其来源。此现状要求建立最新准确SBOM以便跟踪各项材料信息供后续维护参考之用。

最后,对于那些虽然评估为低风险但仍然会被利用进行恶意活动的事项,不容忽视。在4000多次试验中,有72%被认为是低风险或普通水平。如果放任不管,即使是不太危险的问题也能成为敌人发起攻击手段的一个途径。例如,在49%-42%尝试情况下,被发现的是服务器Banner信息提供了解决方案给特定的技术栈引发针对性的进攻。这意味着即使一些看似无害的问题也可能是一个潜在威胁。