《電子技術(shù)應用》
您所在的位置:首頁 > 電子元件 > 業(yè)界動態(tài) > 新思科技發(fā)布《2022年軟件漏洞快照》報告

新思科技發(fā)布《2022年軟件漏洞快照》報告

2022-12-25
來源:電子產(chǎn)品世界
關(guān)鍵詞: 新思科技 軟件漏洞 滲透測試

95%的應用存在漏洞,其中25%受到嚴重或高風險漏洞影響

本文引用地址:http://www.eepw.com.cn/article/202212/441970.htm

 

軟件是大多數(shù)企業(yè)與客戶交互的方式。很明顯,企業(yè)不僅應該使用靜態(tài)分析和軟件組成分析工具來測試web應用中的常見缺陷、漏洞和錯誤配置;而且還應該以攻擊者探測它們的方式來測試其正在運行的web應用。全方位的應用安全測試是當今世界管理軟件風險的重要手段之一。

新思科技(Synopsys, Nasdaq: SNPS)近日發(fā)布了《2022年軟件漏洞快照》報告。該報告審查了對 2,700多 個目標軟件進行的 4,300 多次安全測試的結(jié)果,包括 Web 應用、移動應用、源代碼文件和網(wǎng)絡(luò)系統(tǒng)(即軟件或系統(tǒng))。大多數(shù)安全測試是侵入式“黑盒”或“灰盒”測試,包括滲透測試、動態(tài)應用安全測試 (DAST) 和移動應用安全測試 (MAST),旨在探測在真實環(huán)境不法分子會如何攻擊正在運行的應用。

研究發(fā)現(xiàn),82% 的測試目標是 Web 應用或系統(tǒng),13% 是移動應用,其余是源代碼或網(wǎng)絡(luò)系統(tǒng)/應用。參與測試的行業(yè)包括軟件和互聯(lián)網(wǎng)、金融服務(wù)、商業(yè)服務(wù)、制造業(yè)、消費者服務(wù)和醫(yī)療保健。

在進行的 4,300 多次測試中,新思科技發(fā)現(xiàn) 95% 的目標應用存在某種形式的漏洞(比去年的調(diào)查結(jié)果減少了 2%); 20%存在高危漏洞(比去年減少 10%);4.5%存在嚴重漏洞(比去年減少 1.5%)。

結(jié)果表明,安全測試的最佳方法是利用廣泛的可用工具,包括靜態(tài)分析、動態(tài)分析和軟件組成分析,以幫助確保應用或系統(tǒng)沒有漏洞。例如,總測試目標中有 22% 暴露于跨站點腳本(XSS) 漏洞。這是影響 Web 應用最普遍和最具破壞性的高/嚴重風險漏洞之一。許多 XSS 漏洞發(fā)生在應用運行時。好消息是,今年的調(diào)查結(jié)果中發(fā)現(xiàn)的風險比去年低 6%。這意味著企業(yè)正在采取積極措施,以減少其應用中的 XSS 漏洞。

新思科技軟件質(zhì)量與安全部門安全咨詢副總裁Girish Janardhanudu指出:“此研究報告強調(diào),采用諸如DAST 和滲透測試等侵入式黑盒測試技術(shù),可以有效發(fā)現(xiàn)軟件開發(fā)生命周期中的漏洞。一個全面的應用安全測試方案應該將這類安全工具應該納入其中?!?/p>

《2022年軟件漏洞快照》報告還發(fā)現(xiàn):

·        在 78% 的目標應用中發(fā)現(xiàn)了 OWASP 排名前 10 的漏洞。應用和服務(wù)器配置錯誤占測試中發(fā)現(xiàn)的總體漏洞的 18%(比去年的調(diào)查結(jié)果減少 3%),以 OWASP “A05:2021 - 安全配置錯誤”為主。發(fā)現(xiàn)的漏洞總數(shù)中有 18% 可歸為2021 OWASP Top 10中的“A01:2021 – 訪問控制失效”(比去年減少 1%)。

·        迫切需要軟件物料清單(SBOM)。在 21% 的滲透測試中發(fā)現(xiàn)了易受攻擊的第三方庫(比去年的調(diào)查結(jié)果增加了 3%)。這對應于 2021 年 OWASP 排名前 10 名中的“A06:2021 - 易受攻擊和過時的組件”。大多數(shù)企業(yè)混合使用定制代碼、商業(yè)現(xiàn)成代碼和開源組件來創(chuàng)建他們在銷售或內(nèi)部使用的軟件。這些企業(yè)通常有非正式的(或沒有)物料清單,不能詳細說明他們的軟件正在使用哪些組件,以及這些組件的許可證、版本和補丁狀態(tài)。許多公司在使用數(shù)百個應用或軟件系統(tǒng),每個公司本身可能有成百上千個不同的第三方和開源組件。因此,他們迫切需要準確、最新的SBOM,以有效追蹤這些組件。

·        低風險漏洞也會被利用以發(fā)起攻擊。在測試中發(fā)現(xiàn)的漏洞中有 72% 被認為是低風險或中等風險。也就是說,攻擊者無法直接利用發(fā)現(xiàn)的漏洞來訪問系統(tǒng)或敏感數(shù)據(jù)。盡管如此,這些漏洞風險不容小覷,因為不法分子甚至可以利用風險較低的漏洞來發(fā)起攻擊。例如,冗長的服務(wù)器Banner信息(在49%的DAST測試和 42% 的滲透測試中發(fā)現(xiàn))提供了服務(wù)器名稱、類型和版本號等信息,攻擊者可以利用這些信息對特定技術(shù)棧發(fā)起有針對性的攻擊。




更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。