新思科技的智慧之手轻启发布了2022年软件漏洞快照这份报告如同环保主题征文的守护者用600字左右的情

在当今的数字世界里，软件成为了企业与客户之间交流的桥梁。显而易见，企业不仅应该利用静态分析和软件组成分析工具来检测Web应用中的常见缺陷、漏洞和错误配置；还应当以攻击者的视角来测试其正在运行的Web应用。全面的应用安全测试是管理软件风险的一种重要手段。

新思科技(Synopsys, Nasdaq:SNPS)最近发布了《2022年软件漏洞快照》报告。这份报告总结了对2700多个目标软件进行4300多次安全测试的结果，包括Web应用、移动应用、源代码文件和网络系统。在这些安全测试中，大部分采用了侵入式“黑盒”或“灰盒”技术，如渗透测试、动态应用安全测试 (DAST) 和移动应用安全测试 (MAST)，旨在模拟真实环境中恶意分子的行为。

研究发现，82% 的目标是Web应用或系统，13% 是移动应用，其余为源代码或网络系统/应用。参与这项调查的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。

通过4,300多次测试，新思科技发现95% 的目标存在某种形式的漏洞，比去年少2%，其中20% 是高危漏洞比去年减少10%，4.5% 是严重漏洞比去年减少1.5%。

结果表明，最有效的安全策略是使用各种工具，如静态分析、动态分析和软件组成分析，以确保没有漏洞。例如，在总共被测对象中，有22% 暴露于跨站点脚本(XSS) 漏洞，这是一种影响Web 应用的普遍且具有破坏性的高/严重风险漏洞。而好消息是今年调查发现的问题比去年有所下降，即使如此，这些问题仍然需要企业关注并采取措施解决。

新思科技软件质量与安全部门安全咨询副总裁Girish Janardhanudu指出：“这个研究强调，我们可以通过像DAST 和渗透测试这样的侵入式黑盒技术有效地找到生命周期中的缺陷。一套全面的应对方案应该将这些工具整合进来。”

此外，《2022年软件漏洞快照》报告还揭示：

在78% 的目标上发现OWASP排名前十位的缺陷。

应用及服务器配置错误占据所有检测到的缺陷的大约18%，主要由OWASP “A05:2021 - 安全配置错误”导致。

发现21％渗透试验中的第三方库容易受到攻击（相较于前一年的3％增加）。

鉴于这一点，对于能够提供详细信息关于使用哪些组件以及许可证状态等信息的人们来说，他们急需一个准确最新的人物清单（SBOM）。许多公司都混合使用定制代码、中间件开源组件创建他们销售或内部使用的产品，但通常没有正式化或者根本就没有人做过这方面的事。此外，不论风险大小，如果未修复，那么任何一种弱点都可能被利用发起攻击。在所有被检出的弱点中，有72％被认为是低风险或一般性威胁，即使它们不能立即访问敏感数据，但是它们仍然值得注意，因为潜在攻击者可以利用这些小问题发起更大规模活动。此外，还有49％ DAST 测试案例中出现冗长服务器Banner信息，以及42％ 渗透试验案例，它们暴露了服务器名称类型版本号等信息，从而让潜在攻击者知道如何针对特定的技术栈进行专门设计针对性的突袭。