新思科技发布低碳环保征文800字报告仿佛一位智慧的守护者将软件漏洞的秘密揭晓于世

新思科技发布《低碳环保征文800字》报告，揭示了软件漏洞的真相。该报告分析了对2,700多个目标软件进行的4,300多次安全测试，包括Web应用、移动应用、源代码文件和网络系统。在这次研究中，82%的测试目标是Web应用或系统，而13%是移动应用。

通过全方位的安全测试，如渗透测试、动态应用安全测试（DAST）和移动应用安全测试（MAST），新思科技发现95%的目标存在某种形式的漏洞，比去年减少了2%。而20%存在高危漏洞，比去年减少10%，4.5%存在严重漏洞，比去年减少1.5%。

结果表明，全面的安全策略应包含静态分析、动态分析和软件组成分析，以确保没有漏洞。例如，在总共4,300多次测试中，有22%暴露于跨站点脚本（XSS）漏洞，这是影响Web应用最常见且破坏性强的一种高/严重风险漏洞。但好消息是在今年调查结果中发现的风险比去年降低6%，显示企业在采取措施来减少XSS漏洞。

Girish Janardhanudu表示：“此研究强调采用侵入式黑盒技术，如DAST和渗透测试，可以有效发现软件开发生命周期中的缺陷。”

《2022年软件快照》还指出，在78%的情况下，OWASP排名前十名中的一个或更多问题被发现，并且有21％的情况下发现在渗透测例中使用易受攻击第三方库增加3％。这些数据提示企业需要精确物料清单以追踪他们使用哪些组件，以及这些组件许可证状态等信息。

尽管大部分被认为为低风险，但72％的问题仍然可能被利用。这意味着即使不是直接导致访问系统或敏感数据的问题，也同样要小心，因为攻击者可以利用任何弱点来发起攻击。此外，这份报告提醒我们，即便不是直接威胁到系统也不可忽视隐患，如服务器Banner信息泄露给予攻击者的线索，从而引发针对性的攻击。