2024年12月15日

新思科技以2022年软件漏洞快照报告的使者揭示了保护环境作品简介之谜

在当今的数字世界里,软件成为了企业与客户之间交流的主要手段。显而易见,企业不仅应该依赖静态分析和软件组成分析工具来检测Web应用中的常见缺陷、漏洞以及错误配置;同时,还应该以攻击者的视角进行测试,以便对其正在运行的Web应用进行全方位安全审查。目前,全面的应用安全测试已成为管理软件风险的一个重要手段。

新思科技(Synopsys, Nasdaq:SNPS)最近发布了《2022年软件漏洞快照》报告,该报告详细记录了针对超过2700个目标软件执行4200多次安全测试的情况。这些测试包括Web应用、移动应用、源代码文件以及网络系统(即涉及到软件或系统)。大部分的安全测试采用了侵入式“黑盒”或“灰盒”方法,如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST),旨在模拟真实环境中潜在威胁者可能采取的手段。

研究结果表明,82% 的目标是Web 应用或系统,13% 是移动应用,其余为源代码或网络系统/应用。在这4200多次的检查中,有95% 的目标存在某种形式的漏洞,比去年的调查减少了2%; 20% 存在高危漏洞,比去年减少10%; 而4.5% 存在严重漏洞,比去年减少1.5%.

数据显示,对于确保无漏洞,最有效的做法是结合使用广泛可用的工具,如静态分析、动态分析和软件组成分析。此外,在总共4200次检测中,有22% 暴露于跨站脚本(XSS) 漏洞,这是一种影响Web 应用最普遍且破坏性极强的一类高/严重风险问题。不过,此类XSS 漏洞数量比上一年下降6%,反映出企业正积极采取措施减少其存在。

新思科技负责人Girish Janardhanudu指出:“本报告强调利用如DAST 和渗透测试等侵入式黑盒技术可以有效揭示开发周期中的缺陷。”他还提醒,要构建全面应对策略时,不应忽视这些先进技术。

此外,《2022年软件漏洞快照》还发现78% 的目标包含OWASP 排名前十名中的至少一个常见弱点,并且有18% 可归为服务器配置错误,而剩下的18%,则属于访问控制失效。这说明迫切需要实施一种叫做“Software Bill of Materials (SBOM)”机制,即跟踪所有第三方库,以确保它们不会被未经授权地利用,从而触发OWASP Top 10 中排名第六位的问题——易受攻击及过时组件。而低级别但仍然具有破坏性的弱点也值得关注,因为它们同样能够作为攻击入口点使用。