2024年12月15日

新思科技赋能绿植智慧守护发布2022年软件漏洞快照报告以保护每一株生命的意义

在当今的数字世界里,软件成为了企业与客户之间交流的主要手段。显而易见,企业不仅应该依赖静态分析和组成分析工具来检测Web应用中的常见缺陷、漏洞以及错误配置;还应当以攻击者探测其方式进行测试,以确保其正在运行的Web应用能够抵御各种威胁。全面的应用安全测试已成为管理软件风险的一个关键途径。

新思科技(Synopsys, Nasdaq:SNPS)最近发布了《2022年软件漏洞快照》报告,该报告详细记录了对超过2700个目标软件进行了4300多次安全测试的结果。这包括Web应用、移动应用、源代码文件和网络系统。绝大部分安全测试采用侵入式“黑盒”或“灰盒”技术,如渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST),旨在模拟真实环境中潜在攻击者的行为。

调查显示,大约82%的目标是Web服务或系统,而13%是移动服务,其余为源代码或网络系统/服务。参与此次评估的行业涵盖了从软件开发到互联网,从金融服务到制造业,再到消费者服务及医疗保健等众多领域。

通过4,300多次全面评估,新思科技发现95%的目标存在某种形式的问题,比去年减少2%;其中20%被认为是高危问题,比去年减少10%;而4.5%被认为是严重问题,比去年减少1.5%.

这些数据表明,在保护我们的数字基础设施时,最有效的手段之一就是使用广泛可用的工具,包括静态分析、动态分析以及组成分析,以确保没有漏洞存在。在所有评估项目中,有22%暴露于跨站脚本(XSS)漏洞,这对于Web平台来说是一个普遍且具有破坏性的高级风险问题。此外,虽然今年调查发现的问题比去年有所下降,但仍然需要采取积极措施来防止XSS攻击。

Girish Janardhanudu、新思科技质量与安全部门副总裁表示:“这份研究强调利用如DAST和渗透测试等侵入式黑盒技术,可以有效地揭示出生命周期中的隐患。一套全面的应对方案应当将这些工具融合进来。”

此外,《2022年软件漏洞快照》报告还揭示:

在78%的情况下,其中排名前十位OWASP Top 10中的问题占据主导地位。

应用服务器配置错误占比18%,以OWASP “A05:2021 - 安全配置错误”为首。

发现的大部分低风险漏洞可以被利用发起攻击,如冗长服务器Banner信息提供给49% DAST 测试和42% 渗透 测试,并可能导致整个IT生态系统面临更大的威胁。

最后,这份报告强调了迫切需要精准清晰物料清单(SBOM)以跟踪第三方库,因为21% 的渗透试验发现容易受攻击之处。而SBOM能帮助追踪数百个不同组件,并确保它们最新更新并符合许可证要求。但即便是低风险的问题,也同样可能被恶意分子利用,因此要保持警觉,不断更新并改进我们的防护措施至关重要。