2022软件安全年终大考成绩公布:95%软件都有漏洞,你是那5%吗?
新思科技(Synopsys)近日发布了《2022年软件漏洞报告》。该报告对2,700多个目标软件进行了4,300多次安全测试,并对结果进行了审查。 报告显示,在4,300多次测试中:
-
95%的目标应用存在某种形式的漏洞,比去年减少2%
-
20%存在高危漏洞,比去年减少10%
-
4.5%存在严重漏洞,比去年减少1.5%
22%的目标测试暴露于跨站点脚本(XSS)漏洞。这是影响Web应用最普遍和最具破坏性的高/严重风险漏洞之一。许多XSS漏洞发生在应用运行时。好消息是,今年的调查结果中发现的风险比去年低6%。这意味着企业正在采取积极措施,以减少其应用中的XSS漏洞。
78%的目标应用中发现了OWASP排名前10的漏洞。其中,应用和服务器配置错误占测试中发现的总体漏洞的18%(比去年的调查结果减少 3%),以OWASP “A05:2021 - 安全配置错误”为主。发现的漏洞总数中有18%可归为2021 OWASP Top 10中的“A01:2021 – 访问控制失效”(比去年减少1%)。
21%的渗透测试中发现了易受攻击的第三方库(比去年的调查结果增加了3%)。这对应于2021年OWASP排名前10名中的“A06:2021-易受攻击和过时的组件”。大多数企业混合使用定制代码、商业现成代码和开源组件来创建他们在销售或内部使用的软件。这些企业通常有非正式的(或没有)物料清单,不能详细说明他们的软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态。许多公司在使用数百个应用或软件系统,每个公司本身可能有成百上千个不同的第三方和开源组件。因此,他们迫切需要准确、最新的软件物料清单(SBOM),以有效追踪这些组件。
72%的漏洞被认为是低风险或中等风险。也就是说,攻击者无法直接利用发现的漏洞来访问系统或敏感数据。尽管如此,这些漏洞风险不容小觑,因为不法分子甚至可以利用风险较低的漏洞来发起攻击。例如,冗长的服务器Banner信息(在49%的DAST测试和42%的渗透测试中发现)提供了服务器名称、类型和版本号等信息,攻击者可以利用这些信息对特定技术栈发起有针对性的攻击。所以说,低风险漏洞同样不容小觑,也会被利用以发起攻击。
此研究报告强调,采用诸如DAST和渗透测试等侵入式黑盒测试技术,可以有效发现软件开发生命周期中的漏洞。一个全面的应用安全测试方案应该将这类安全工具纳入其中。 Girish Janardhanudu软件质量与安全部门安全咨询副总裁新思科技
本报告中的大多数安全测试是侵入式“黑盒”或“灰盒”测试,包括渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST),旨在探测在真实环境不法分子会如何攻击正在运行的应用。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。其中82%的测试目标是Web应用或系统,13%是移动应用,其余则是源代码或网络系统/应用。安全测试的最佳方法是利用广泛的可用工具,包括静态分析、动态分析和软件组成分析,以帮助确保应用或系统没有漏洞。
扫描下方二维码,查看完整报告
原文标题:2022软件安全年终大考成绩公布:95%软件都有漏洞,你是那5%吗?
文章出处:【微信公众号:新思科技】欢迎添加关注!文章转载请注明出处。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
新思科技
+关注
关注
5文章
800浏览量
50361
原文标题:2022软件安全年终大考成绩公布:95%软件都有漏洞,你是那5%吗?
文章出处:【微信号:Synopsys_CN,微信公众号:新思科技】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
RAID 5 硬件与软件 RAID 的区别
RAID 5硬件RAID与软件RAID之间存在显著的差异,这些差异主要体现在实现方式、性能、数据安全性、灵活性以及成本等方面。 一、实现方式 硬件RAID : 依赖于专用的硬件RAID控制器来管理
RT-Thread出席2024汽车软件与安全技术周!
背景ATC作为汽车技术会议领域的领先平台,专注于汽车电子与软件版块的技术交流将近10年历程,深耕行业问题,触达客户需求。并于2022年8月首次推出“汽车软件与安全技术周”,2023年8
华为云 CodeArts 12 大安全防护机制,端到端全面保障软件供应链安全!
全球网络安全事件频发不断,企业纷纷损失惨重。2021 年 11 月,知名 logo4j 漏洞波及全球多达 6 万款开源软件,70%以上企业受影响。2022 年 3 月, 大型加油站服务
2024 ACT汽车软件与安全技术周 龙智即将携全方位汽车软件开发解决方案亮相,助力应对汽车软件开发功能安全
2024年7月18-19日(周四-周五),2024第三届ACT汽车软件与安全技术周将在上海佘山翰悦阁酒店举办。 龙智即将携汽车开发及管理解决方案创新亮相,并在汽车信息安全技术峰会主会场上发表主题演讲
第二届大会回顾第22期 软件缺陷漏洞分析
演讲嘉宾 | 梁洪亮 回顾整理 | 廖 涛 排版校对 | 宋夕明 嘉宾介绍 OS安全分论坛 梁洪亮, 博士,北京邮电大学副教授,博士生导师。研究兴趣为可信软件与智能系统。 视频回顾 打开哔
生成式AI之下,软件供应链安全的升级更迫切
电子发烧友网报道(文/黄晶晶)AI大模型不仅能够文生图、文生视频、人机对话等,还能够帮助开发人员写代码,但这又出现另一个问题,ChatGPT产生的代码也可能存在漏洞。可以说,全球软件供应链安全正面
华为云CodeArts推出端到端全面保障软件供应链安全解决方案
全球网络安全事件频发不断,企业纷纷损失惨重。2021年11月,知名logo4j漏洞波及全球多达6万款开源软件,70%以上企业受影响。
企业使用内网安全管理软件的好处
监控网络活动,及早发现网络安全漏洞,防止未经授权的访问、篡改和操纵数据。 管理网络用户:内网安全管理软件可以更好地管理网络用户,比如给不同角色的用户分配恰当的权限,以确保网络数据的安全
Adobe修复35项安全漏洞,主要涉及Acrobat和FrameMaker
值得关注的是,Adobe对Acrobat及Acrobat Reader软件的漏洞修复最为重视,共修复了12个漏洞,其中9个为“远程执行代码”严重漏洞,主要由RAM的“Use After
金邦达宝嘉公布2023全年业绩
香港2024年3月20日 /美通社/ -- 金邦达宝嘉控股有限公司及其附属公司(以下合称"金邦达"、"集团"股份代码:03315.HK)今日公布截至二零二三年十二月三十一日止之全年业绩。 业绩稳健
虚拟化软件栈有哪些防御措施
软件栈的防御措施。 基础防御措施 强化操作系统安全性:虚拟化软件栈的基础是操作系统,因此首先需要确保操作系统的安全性。可以通过更新操作系统的补丁和安
一次Rust重写基础软件的实践
受到2022年“谷歌使用Rust重写Android系统且所有Rust代码的内存安全漏洞为零” [1] 的启发,最近笔者怀着浓厚的兴趣也顺应Rust 的潮流,尝试着将一款C语言开发的基础软件转化
AI加入软件会更安全吗
“变化即常态”是技术领域的主旋律。随着新技术的飞速发展,软件安全的复杂性也在不断增加,不法分子总是能发掘出更隐蔽的手段进行网络攻击。虽然没有人能够准确断言未来软件安全的发展,但开发者们
软件测试的7大原则,你漏了几条?
软件测试报告最需要注意的就是测试思考,而非测试执行。而对软件测试菜鸟来说,初入行,首先要知道软件测试的7条原则,了解这些可以让你事倍功半。
1测试的不可穷尽原则
是的!任何产品不可能被
发表于 01-18 09:39
工商网监
评论