出 色 资 讯  快 人 一 线
  首页 | 市场行情 | 新闻动态 | 产品评测 | 硬件文萃 | 数码时尚 | 虬江路二手 | 论坛 | 小熊推荐店
 首页 → 业界动态
 
文章搜索: 类别:
 

新思科技发布《2022年软件漏洞快照》报告

【业界动态】 作者:业界动态

 

【文章简介】
在进行的 4,300 多次测试中,新思科技发现 95% 的目标应用存在某种形式的漏洞(比去年的调查结果减少了 2%)..... ......


对于软件安全计划负责人来说,深入了解软件风险可以帮助他们做好安全规划,实现安全工作的战略性改进。

新思科技(Synopsys, Nasdaq: SNPS)近日发布了《2022年软件漏洞快照》报告。该报告审查了对 2,700多 个目标软件进行的 4,300 多次安全测试的结果,包括 Web 应用、移动应用、源代码文件和网络系统(即软件或系统)。大多数安全测试是侵入式“黑盒”或“灰盒”测试,包括渗透测试、动态应用安全测试 (DAST) 和移动应用安全测试 (MAST),旨在探测在真实环境不法分子会如何攻击正在运行的应用。

研究发现,82% 的测试目标是 Web 应用或系统,13% 是移动应用,其余是源代码或网络系统/应用。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。

在进行的 4,300 多次测试中,新思科技发现 95% 的目标应用存在某种形式的漏洞(比去年的调查结果减少了 2%); 20%存在高危漏洞(比去年减少 10%);4.5%存在严重漏洞(比去年减少 1.5%)。

结果表明,安全测试的最佳方法是利用广泛的可用工具,包括静态分析、动态分析和软件组成分析,以帮助确保应用或系统没有漏洞。例如,总测试目标中有 22% 暴露于跨站点脚本 (XSS) 漏洞。这是影响 Web 应用最普遍和最具破坏性的高/严重风险漏洞之一。许多 XSS 漏洞发生在应用运行时。好消息是,今年的调查结果中发现的风险比去年低 6%。这意味着企业正在采取积极措施,以减少其应用中的 XSS 漏洞。

新思科技软件质量与安全部门安全咨询副总裁Girish Janardhanudu指出:“此研究报告强调,采用诸如DAST 和渗透测试等侵入式黑盒测试技术,可以有效发现软件开发生命周期中的漏洞。一个全面的应用安全测试方案应该将这类安全工具应该纳入其中。”

《2022年软件漏洞快照》报告还发现:

  • 在 78% 的目标应用中发现了 OWASP 排名前 10 的漏洞。应用和服务器配置错误占测试中发现的总体漏洞的 18%(比去年的调查结果减少 3%),以 OWASP “A05:2021 - 安全配置错误”为主。发现的漏洞总数中有 18% 可归为2021 OWASP Top 10中的“A01:2021 – 访问控制失效”(比去年减少 1%)。
  • 迫切需要软件物料清单(SBOM)。在 21% 的渗透测试中发现了易受攻击的第三方库(比去年的调查结果增加了 3%)。这对应于 2021 年 OWASP 排名前 10 名中的“A06:2021 - 易受攻击和过时的组件”。大多数企业混合使用定制代码、商业现成代码和开源组件来创建他们在销售或内部使用的软件。这些企业通常有非正式的(或没有)物料清单,不能详细说明他们的软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态。许多公司在使用数百个应用或软件系统,每个公司本身可能有成百上千个不同的第三方和开源组件。因此,他们迫切需要准确、最新的SBOM,以有效追踪这些组件。
  • 低风险漏洞也会被利用以发起攻击。在测试中发现的漏洞中有 72% 被认为是低风险或中等风险。也就是说,攻击者无法直接利用发现的漏洞来访问系统或敏感数据。尽管如此,这些漏洞风险不容小觑,因为不法分子甚至可以利用风险较低的漏洞来发起攻击。例如,冗长的服务器Banner信息(在49%的DAST测试和 42% 的渗透测试中发现)提供了服务器名称、类型和版本号等信息,攻击者可以利用这些信息对特定技术栈发起有针对性的攻击。

2022年12月22日 于上海

版权作品 未经许可 请勿转载 



 

网友评论 (仅供参考与本站立场无关)


请发表您的观点 (可以匿名发表,记录IP限定1000字内)
 
姓名:  密码: 新用户注册
 

相关文章              更多相关文章看这里...


 

Copyright © 2003 - 2005 www.shxiaobear.com .All Rights Received.