新思科技（Synopsys）近日發(fā)布了《2022年軟件漏洞報告》。該報告對2,700多個目標軟件進行了4,300多次安全測試，并對結果進行了審查。 報告顯示，在4,300多次測試中：

• 95%的目標應用存在某種形式的漏洞，比去年減少2%

• 20%存在高危漏洞，比去年減少10%

• 4.5%存在嚴重漏洞，比去年減少1.5%

?22%的目標測試暴露于跨站點腳本（XSS）漏洞。這是影響Web應用最普遍和最具破壞性的高/嚴重風險漏洞之一。許多XSS漏洞發(fā)生在應用運行時。好消息是，今年的調查結果中發(fā)現的風險比去年低6%。這意味著企業(yè)正在采取積極措施，以減少其應用中的XSS漏洞。 78%的目標應用中發(fā)現了OWASP排名前10的漏洞。其中，應用和服務器配置錯誤占測試中發(fā)現的總體漏洞的18%（比去年的調查結果減少 3%），以OWASP “A05:2021 - 安全配置錯誤”為主。發(fā)現的漏洞總數中有18%可歸為2021 OWASP Top 10中的“A01:2021 – 訪問控制失效”（比去年減少1%）。 21%的滲透測試中發(fā)現了易受攻擊的第三方庫（比去年的調查結果增加了3%）。這對應于2021年OWASP排名前10名中的“A06:2021-易受攻擊和過時的組件”。大多數企業(yè)混合使用定制代碼、商業(yè)現成代碼和開源組件來創(chuàng)建他們在銷售或內部使用的軟件。這些企業(yè)通常有非正式的（或沒有）物料清單，不能詳細說明他們的軟件正在使用哪些組件，以及這些組件的許可證、版本和補丁狀態(tài)。許多公司在使用數百個應用或軟件系統(tǒng)，每個公司本身可能有成百上千個不同的第三方和開源組件。因此，他們迫切需要準確、最新的軟件物料清單（SBOM），以有效追蹤這些組件。 72%的漏洞被認為是低風險或中等風險。也就是說，攻擊者無法直接利用發(fā)現的漏洞來訪問系統(tǒng)或敏感數據。盡管如此，這些漏洞風險不容小覷，因為不法分子甚至可以利用風險較低的漏洞來發(fā)起攻擊。例如，冗長的服務器Banner信息（在49%的DAST測試和42%的滲透測試中發(fā)現）提供了服務器名稱、類型和版本號等信息，攻擊者可以利用這些信息對特定技術棧發(fā)起有針對性的攻擊。所以說，低風險漏洞同樣不容小覷，也會被利用以發(fā)起攻擊。

此研究報告強調，采用諸如DAST和滲透測試等侵入式黑盒測試技術，可以有效發(fā)現軟件開發(fā)生命周期中的漏洞。一個全面的應用安全測試方案應該將這類安全工具納入其中。 Girish Janardhanudu軟件質量與安全部門安全咨詢副總裁新思科技

?本報告中的大多數安全測試是侵入式“黑盒”或“灰盒”測試，包括滲透測試、動態(tài)應用安全測試（DAST）和移動應用安全測試（MAST），旨在探測在真實環(huán)境不法分子會如何攻擊正在運行的應用。參與測試的行業(yè)包括軟件和互聯(lián)網、金融服務、商業(yè)服務、制造業(yè)、消費者服務和醫(yī)療保健。其中82%的測試目標是Web應用或系統(tǒng)，13%是移動應用，其余則是源代碼或網絡系統(tǒng)/應用。安全測試的最佳方法是利用廣泛的可用工具，包括靜態(tài)分析、動態(tài)分析和軟件組成分析，以幫助確保應用或系統(tǒng)沒有漏洞。 掃描下方二維碼，查看完整報告