新思科技最新報告顯示97%應用存在漏洞 其中36%正受嚴重或高風險漏洞影響

在數(shù)字經濟時代，軟件是大多數(shù)企業(yè)與客戶互動和提供客戶支持的主要方式。如果企業(yè)所銷售的軟件或包含嵌入式軟件的產品出現(xiàn)了影響產品使用的軟件安全、合規(guī)或質量問題，將給企業(yè)帶來難以承受的影響。即使是不直接參與軟件或軟件驅動產品銷售的企業(yè)，也會受到軟件質量和安全問題的影響。例如，大多數(shù)的工資單、賬單、應收賬款、銷售跟蹤和客戶記錄的管理系統(tǒng)都是由軟件驅動的。軟件控制生產、管理庫存、指揮倉儲活動、并運行著確保正常業(yè)務運營的分銷系統(tǒng)。因此，對軟件安全的了解及應用安全測試須更加全面。

新思科技(Synopsys, Inc.，Nasdaq: SNPS)近日發(fā)布了《2021年軟件漏洞快照：新思科技應用安全測試服務分析》報告（2021 Software Vulnerability Snapshot: An Analysis by Synopsys Application Security Testing Services, 以下簡稱為報告）。該報告分析了2020年對2,600個目標（即軟件或系統(tǒng)）進行的3,900次測試的數(shù)據(jù)。這些數(shù)據(jù)由新思科技安全顧問在評估中心為客戶進行的測試匯編而成，包括滲透測試、動態(tài)應用安全測試和移動應用安全分析，模擬真實世界中攻擊者的行為以測試正在運行的應用。

其中83%的測試目標是Web應用，12%是移動應用，其余的則是源代碼或網絡系統(tǒng)/應用。測試的行業(yè)包括軟件和互聯(lián)網、金融服務、商業(yè)服務、制造業(yè)、媒體和娛樂業(yè)以及醫(yī)療健康行業(yè)。

新思科技軟件質量與安全部門安全顧問副總裁Girish Janardhanudu表示：“現(xiàn)在，基于云的部署、現(xiàn)代技術框架和快速的交付速度正迫使安全部門做出更快的反應。由于市場上AppSec資源不足，各企業(yè)正在利用新思科技等提供的應用安全測試服務，以便靈活地擴展其安全測試。我們已經看到，在疫情期間，安全評估需求大幅增加。”

在3,900次測試中，97%的被測目標被發(fā)現(xiàn)存在某種形式的漏洞；其中30%的目標是高風險漏洞；6%是嚴重風險漏洞。結果表明，安全測試的最佳方法是利用廣泛可用工具來幫助確保應用或系統(tǒng)沒有漏洞。例如，28%的測試目標曾遭受過跨站腳本(XSS)攻擊。這是影響web應用最普遍和最具破壞性的高/關鍵風險漏洞之一。許多XSS漏洞僅在應用運行時出現(xiàn)。

報告的其他重點：

· 在76%的被測目標中發(fā)現(xiàn)了2021年OWASP Top 10的漏洞。應用程序和服務器配置錯誤占測試中發(fā)現(xiàn)的全部漏洞的21%，代表性的有OWASP A05:2021 – 安全配置錯誤類別。另外，發(fā)現(xiàn)的總漏洞中有19%與OWASP A01:2021 – 訪問控制失效類別有關。

· 不安全的數(shù)據(jù)存儲和通信漏洞困擾著移動應用程序。在移動測試發(fā)現(xiàn)的漏洞中，有80%與不安全的數(shù)據(jù)存儲有關。這些漏洞使得攻擊者可以通過物理方式（即訪問被盜設備）或者惡意軟件訪問移動設備。移動測試發(fā)現(xiàn)的漏洞中還有53%與不安全的通信方式相關。

· 即使是低風險漏洞也可能被利用來促成攻擊。通過測試發(fā)現(xiàn)，其中64%的漏洞被認為是較低、低或中等風險。也就是說，攻擊者無法直接利用所發(fā)現(xiàn)的漏洞去訪問系統(tǒng)或敏感數(shù)據(jù)。盡管如此，找出這些漏洞并非無用之功，因為即使是低風險漏洞也可以被利用來促成攻擊。例如，測試中發(fā)現(xiàn)有49%的服務器橫幅能詳細提供服務器名稱、類型和版本號等信息，可能有助于攻擊者對特定的技術堆棧發(fā)動有針對性的攻擊。

· 對軟件物料清單的迫切需求。值得注意的是，在新思科技應用程序安全測試服務進行的滲透測試中，發(fā)現(xiàn)了有18%的系統(tǒng)在使用易受攻擊的第三方庫。這與2021年OWASP TOP10漏洞里的A06:2021 – 易受攻擊和過時的組件類別相一致。大多數(shù)組織一般會混合使用私有代碼、商業(yè)現(xiàn)成代碼和開源組件來開發(fā)對外銷售或內部使用的軟件。通常情況下，這些企業(yè)僅通過非正式清單或甚至沒有清單，來記錄其軟件正在使用哪些組件，以及這些組件的許可證、版本和補丁狀態(tài)。由于許多企業(yè)在使用數(shù)百個應用程序或軟件系統(tǒng)，可能擁有數(shù)百至數(shù)千個不同的第三方和開源組件，因此迫切需要一份準確時新的軟件物料清單（SBOM）來有效追蹤這些組件。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。