新思科技发布低碳生活演讲稿600字报告仿佛一位智慧的守护者将软件漏洞的秘密轻声吟诵

在当今这个数字化和连接化的时代，软件已成为企业与客户之间沟通交流的桥梁。为了确保这一交流过程的安全性，企业不仅要依赖于静态分析和软件组成分析工具来检测Web应用中的潜在缺陷、漏洞和错误配置，而且还需模拟攻击者对其正在运行的Web应用进行全面测试。这一全面的应用安全测试方式，如同现代战争中精准打击一样，是管理软件风险不可或缺的手段。

新思科技(Synopsys, Nasdaq:SNPS)最近发布了《2022年软件漏洞快照》报告，这份报告总结了对2,700多个目标软件进行4,300多次安全测试的结果。这些测试包括Web应用、移动应用、源代码文件以及网络系统（即软硬件）。大部分是侵入式“黑盒”或“灰盒”测试，其中包括渗透测试、动态应用安全测试 (DAST) 和移动应用安全测试 (MAST)，旨在探测真实环境中恶意分子可能采取行动时会如何攻击这些建立。

研究显示，82% 的目标是Web 应用或系统，13% 是移动应 用，其余则为源代码或网络系统/应用。此类行业遍布于软件和互联网、金融服务商业服务制造业消费者服务及医疗保健等领域。在超过4,300次这样的考验中，新思科技发现95% 的目标存在某种形式的问题；其中20% 是高危问题，比去年少10%，而严重问题占比降至4.5%，比去年少1.5%.

调查结果表明，最有效的保护措施是在使用各种工具：静态分析动态分析及组成分析，以确保没有未知之隐患。例如，在总体检查中，有22%遭遇跨站脚本(XSS)威胁，这是一种影响web网站最普遍且破坏性的高级风险漏洞。大好消息是今年调查数据减少了6%,表明企业正采取积极措施以减少XSS问题。

Girish Janardhanudu 新思科技软件质量与安全部门副总裁指出：“这份报告强调利用如DAST及渗透等技术，可以有效揭示生命周期中的漏洞。一个全面的方案应当将这些工具融入其中。”

《2022年软件漏洞快照》还揭示：

78% 的目标遭受OWASP前十名中的攻击。

18%属于服务器配置错误，而OWASP “A05:2021 - 安全配置错误”居首位。

18％可归为2021 OWASP Top 10 中“A01:2021 – 访问控制失效”。

迫切需要的是一个详细清晰的物料清单(SBOM). 在21％渗透试验中发现易受攻击第三方库（增加3%), 对应于 “A06:2021 - 易受攻击和过时组件”，许多公司混用定制代码开源程序与现成商品编码构建他们销售内部使用产品。但由于无正式记录无法追踪所使用哪些组件及其许可证状态，他们急需SBOM以跟踪所有这些元素。

即便低风险也能被利用发起攻势。在72％的情况下，被视为低、中级风险，但并不意味着它们轻忽视，因为任何信息都可能被滥用；尤其那些长时间展示服务器Banner信息（49 % DAST 测试42 % 渗透）提供了解释服务器类型版本号给予有针对性的挑战机会，不法分子可以从这里开始他们计划进攻。