新思科技发布2022年软件漏洞快照报告倡议书简短
在当今的数字世界里,软件成为了企业与客户之间交流的主要手段。显而易见,企业不仅应该依赖静态分析和组成分析工具来检测Web应用中的常见缺陷、漏洞以及错误配置;还应当以攻击者探测其方式进行测试,以确保其正在运行的Web应用能够抵御各种威胁。全面的应用安全测试已成为管理软件风险的一个关键途径。
新思科技(Synopsys, Nasdaq:SNPS)最近发布了《2022年软件漏洞快照》报告,该报告详细记录了对2700多个目标软件进行4300多次安全测试的结果,其中包括Web应用、移动应用、源代码文件和网络系统。绝大部分安全测试采用了侵入式“黑盒”或“灰盒”技术,如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST),旨在模拟真实环境中潜在攻击者的行为。
调查显示,大约82%的目标是Web服务或系统,而13%是移动服务,其余则是源代码或网络系统/服务。这一范围涵盖了从软件开发到互联网提供商再到金融服务业的大型行业。
在这4300多次试验中,新思科技发现95%的目标存在某种形式的漏洞,这比去年的数据有所下降;高危漏洞占20%,较上一年减少10%;严重漏洞占4.5%,较上一年减少1.5%.
这些统计数据表明,有效防范此类隐患需要采纳广泛可用的工具,无论是在静态分析还是动态分析方面。此外,还需利用软件构建分析来确保没有任何缺陷。在所有被试验过的大约22%中暴露出了跨站脚本(XSS)漏洞,这是影响最为普遍且破坏性最强的一类高/严重风险问题之一。幸运的是,与去年相比,这些问题数量有所下降,即今年调查报告揭示出的风险低6%,显示出企业正在积极采取措施减少他们产品中的XSS问题。
新思科技软件质量与安全部门副总裁Girish Janardhanudu指出:“本研究报告强调采用如DAST及渗透测试等侵入式黑盒技术,可以有效地揭示生命周期内可能存在的问题。”
《2022年软件漏洞快照》还揭示了一些其他重要信息:
78% 的评估对象中出现OWASP排名前十位的问题。
应用程序和服务器配置错误占据总体发现到的所有类型bug数目18%,其中主导的是OWASP “A05:2021 - 安全配置错误”。
最后,它提醒我们迫切需要一个完整且准确的人力物料清单(SBOM)。21% 的渗透尝试找到了容易受到攻击第三方库,比去年的同期增长3%. 这正好对应于2021 OWASP Top 10 中排名第六名——即“A06:2021 - 易受攻击并过时组件”。许多公司使用定制代码、商业现成代码以及开源组件共同创造它们用于销售或内部使用的产品,但通常缺乏详细描述他们使用哪些组件,以及这些组件许可证状态、新版本更新情况等信息。大规模企业往往会同时拥有数百个不同类型的小型项目,每个项目又包含成百上千不同的第三方及开源部件,因此,他们急需最新准确的人力物料清单,以便跟踪这些部件及其相关信息。
尽管大部分发现的问题被认为属于低至中等风险,但仍然值得警惕,因为攻击者可以利用这类小瑕疵发起更复杂攻势。在四分之三的心理学实验室人员都同意,在49%的情况下DAST已经开始,并42%情况下的渗透检测过程中,都能轻易找到冗长服务器Banner信息。这对于识别特定技术栈提供了解释,有助于精确定向针对性的进攻策略。此外,由于不断变化的情报环境,不断更新并完善SBOM将变得越发重要,以适应不断变化的情报环境。而非要遵循固定的规则,一旦进入未知领域,就难以预测未来可能面临的事故导致如何调整策略甚至改变方向。如果我们不能准备好,我们就无法保持竞争优势,也无法保护我们的资产免受损害。一句话,要想成功必须永远处于备战状态,同时也要考虑资源分配优化以适应新的挑战。