新思科技发布低碳生活的感悟心得2022年软件漏洞快照报告仿佛是技术之手轻抚着数据的灵魂揭示了软件世界

在当今这个低碳生活的时代，科技的进步无处不在。新思科技(Synopsys, Nasdaq:SNPS)近日发布了《2022年软件漏洞快照》报告，这份报告就像是一位守护者，用其深邃的智慧和细腻的情感，揭示了软件世界中最隐秘、最微妙的瑕疵。

这份报告审查了对 2,700多 个目标软件进行的 4,300 多次安全测试的结果，包括 Web 应用、移动应用、源代码文件和网络系统（即软件或系统）。大多数安全测试是侵入式“黑盒”或“灰盒”测试，包括渗透测试、动态应用安全测试 (DAST) 和移动应用安全测试 (MAST)，旨在探测在真实环境不法分子会如何攻击正在运行的应用。

研究发现，82% 的测试目标是 Web 应用或系统，13% 是移动应用，其余是源代码或网络系统/应用。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。

在进行了 4,300 多次测试后，新思科技发现 95% 的目标应用存在某种形式的漏洞（比去年的调查结果减少了 2%）；20%存在高危漏洞（比去年减少10%）；4.5%存在严重漏洞（比去年减少1.5%）。

结果表明，安全testing需要广泛可用的工具，如静态分析、动态分析和软件组成分析，以帮助确保没有漏洞。例如，在总体检测中有22％暴露于跨站点脚本(XSS) 漏洞。这是一个影响Web 应用的普遍且破坏性的高/严重风险问题之一。许多XSS 漏洞发生在应用运行时。好消息是在今年调查中的风险下降6%，说明企业正在采取积极措施以减少它们中的XSS 漏洞数量。

新思科技软件质量与安全部门安全咨询副总裁Girish Janardhanudu指出：“此研究报告强调采用如DAST 和渗透testing等侵入式黑盒技术可以有效地发现生命周期中常见缺陷。此外，全面的应对策略应将这些工具纳入其中。”

《2022年软件漏洞快照》还显示：

在78％的情况下找到了OWASP排名前十名中的错误。

以OWASP “A05:2021 - 安全配置错误”为主，有18％来自于服务器配置错误，比上一年的调查数据降低3个百分点。

有18％被归类为2021 OWASP Top Ten 中“A01:2021 – 访问控制失效”，相较于前一年有所下降，即由1个百分点。

需要一个详尽的地图来追踪使用情况：21％通过渗透test找到了易受攻击第三方库，比上一年的同期增加3个百分点，这与2019年度OWASP Top Ten排名第六名相同“A06:2017 - 易受攻击组件”。

尽管大部分被认为是低风险，但仍然可能用于发起攻击。在所有检测到的bug中，有72％被评定为低级别至中等级别。这意味着虽然无法直接利用这些bug来访问敏感信息，但它们依旧具有潜力，因为恶意行为者可以利用甚至那些看似弱小的问题发起更复杂操作。此外，被标记为49 % DAST test及42 % penetration test发现冗长服务器Banner信息提供关于服务器名称类型版本号以及其他相关细节，这些信息对于特定的技术栈发起针对性攻击来说非常宝贵。