2022软件安全年终大考成绩公布:95%软件都有漏洞,你是那5%吗?
新思科技(Synopsys)近日发布了《2022年软件漏洞报告》。该报告对2,700多个目标软件进行了4,300多次安全测试,并对结果进行了审查。 报告显示,在4,300多次测试中:
-
95%的目标应用存在某种形式的漏洞,比去年减少2%
-
20%存在高危漏洞,比去年减少10%
-
4.5%存在严重漏洞,比去年减少1.5%
22%的目标测试暴露于跨站点脚本(XSS)漏洞。这是影响Web应用最普遍和最具破坏性的高/严重风险漏洞之一。许多XSS漏洞发生在应用运行时。好消息是,今年的调查结果中发现的风险比去年低6%。这意味着企业正在采取积极措施,以减少其应用中的XSS漏洞。
78%的目标应用中发现了OWASP排名前10的漏洞。其中,应用和服务器配置错误占测试中发现的总体漏洞的18%(比去年的调查结果减少 3%),以OWASP “A05:2021 - 安全配置错误”为主。发现的漏洞总数中有18%可归为2021 OWASP Top 10中的“A01:2021 – 访问控制失效”(比去年减少1%)。
21%的渗透测试中发现了易受攻击的第三方库(比去年的调查结果增加了3%)。这对应于2021年OWASP排名前10名中的“A06:2021-易受攻击和过时的组件”。大多数企业混合使用定制代码、商业现成代码和开源组件来创建他们在销售或内部使用的软件。这些企业通常有非正式的(或没有)物料清单,不能详细说明他们的软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态。许多公司在使用数百个应用或软件系统,每个公司本身可能有成百上千个不同的第三方和开源组件。因此,他们迫切需要准确、最新的软件物料清单(SBOM),以有效追踪这些组件。
72%的漏洞被认为是低风险或中等风险。也就是说,攻击者无法直接利用发现的漏洞来访问系统或敏感数据。尽管如此,这些漏洞风险不容小觑,因为不法分子甚至可以利用风险较低的漏洞来发起攻击。例如,冗长的服务器Banner信息(在49%的DAST测试和42%的渗透测试中发现)提供了服务器名称、类型和版本号等信息,攻击者可以利用这些信息对特定技术栈发起有针对性的攻击。所以说,低风险漏洞同样不容小觑,也会被利用以发起攻击。
此研究报告强调,采用诸如DAST和渗透测试等侵入式黑盒测试技术,可以有效发现软件开发生命周期中的漏洞。一个全面的应用安全测试方案应该将这类安全工具纳入其中。 Girish Janardhanudu软件质量与安全部门安全咨询副总裁新思科技
本报告中的大多数安全测试是侵入式“黑盒”或“灰盒”测试,包括渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST),旨在探测在真实环境不法分子会如何攻击正在运行的应用。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。其中82%的测试目标是Web应用或系统,13%是移动应用,其余则是源代码或网络系统/应用。安全测试的最佳方法是利用广泛的可用工具,包括静态分析、动态分析和软件组成分析,以帮助确保应用或系统没有漏洞。
扫描下方二维码,查看完整报告
原文标题:2022软件安全年终大考成绩公布:95%软件都有漏洞,你是那5%吗?
文章出处:【微信公众号:新思科技】欢迎添加关注!文章转载请注明出处。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
新思科技
+关注
关注
5文章
787浏览量
50302
原文标题:2022软件安全年终大考成绩公布:95%软件都有漏洞,你是那5%吗?
文章出处:【微信号:Synopsys_CN,微信公众号:新思科技】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
RT-Thread出席2024汽车软件与安全技术周!
背景ATC作为汽车技术会议领域的领先平台,专注于汽车电子与软件版块的技术交流将近10年历程,深耕行业问题,触达客户需求。并于2022年8月首次推出“汽车软件与安全技术周”,2023年8
华为云 CodeArts 12 大安全防护机制,端到端全面保障软件供应链安全!
全球网络安全事件频发不断,企业纷纷损失惨重。2021 年 11 月,知名 logo4j 漏洞波及全球多达 6 万款开源软件,70%以上企业受影响。2022 年 3 月, 大型加油站服务
生成式AI之下,软件供应链安全的升级更迫切
电子发烧友网报道(文/黄晶晶)AI大模型不仅能够文生图、文生视频、人机对话等,还能够帮助开发人员写代码,但这又出现另一个问题,ChatGPT产生的代码也可能存在漏洞。可以说,全球软件供应链安全正面
华为云CodeArts推出端到端全面保障软件供应链安全解决方案
全球网络安全事件频发不断,企业纷纷损失惨重。2021年11月,知名logo4j漏洞波及全球多达6万款开源软件,70%以上企业受影响。
企业使用内网安全管理软件的好处
监控网络活动,及早发现网络安全漏洞,防止未经授权的访问、篡改和操纵数据。 管理网络用户:内网安全管理软件可以更好地管理网络用户,比如给不同角色的用户分配恰当的权限,以确保网络数据的安全
Adobe修复35项安全漏洞,主要涉及Acrobat和FrameMaker
值得关注的是,Adobe对Acrobat及Acrobat Reader软件的漏洞修复最为重视,共修复了12个漏洞,其中9个为“远程执行代码”严重漏洞,主要由RAM的“Use After
金邦达宝嘉公布2023全年业绩
香港2024年3月20日 /美通社/ -- 金邦达宝嘉控股有限公司及其附属公司(以下合称"金邦达"、"集团"股份代码:03315.HK)今日公布截至二零二三年十二月三十一日止之全年业绩。 业绩稳健
一次Rust重写基础软件的实践
受到2022年“谷歌使用Rust重写Android系统且所有Rust代码的内存安全漏洞为零” [1] 的启发,最近笔者怀着浓厚的兴趣也顺应Rust 的潮流,尝试着将一款C语言开发的基础软件转化
AI加入软件会更安全吗
“变化即常态”是技术领域的主旋律。随着新技术的飞速发展,软件安全的复杂性也在不断增加,不法分子总是能发掘出更隐蔽的手段进行网络攻击。虽然没有人能够准确断言未来软件安全的发展,但开发者们
软件测试活动有哪些?
政府、事业单位、企业、学校等项目验收)
3、系统测试报告(适用于软件和系统集成项目,开发方发起并组织的项目验收)
4、性能测试报告(适用于项目性能验证、性能调优、发现性能缺陷等应用场景)
5、安全
发表于 01-08 11:11
开源漏洞共享平台及安全奖励计划正式发布
列文,以及来自阿里云、百度、工信部电子五所、华为、京东科技、蚂蚁集团、奇安信、清华大学、深信服、腾讯、统信软件、浙江大学、中国科学院软件所等单位代表共同发布。 开源漏洞共享平台及安全奖
汽车网络安全:防止汽车软件中的漏洞
汽车网络安全在汽车开发中至关重要,尤其是在 汽车软件 日益互联的情况下。在这篇博客中,我们将分享如何防止汽车网络安全漏洞。
静态分析工具有助于执行关键的汽车编码指南(如MISRA和AUTOSAR C++14),并协助遵守功能
开源漏洞共享平台及安全奖励计划正式发布
来自阿里云、百度、工信部电子五所、华为、京东科技、蚂蚁集团、奇安信、清华大学、深信服、腾讯、统信软件、浙江大学、中国科学院软件所等单位代表共同发布。 开源漏洞共享平台及安全奖励计划发布
解锁未来软件安全的利器——华为云 CodeArts 开源治理服务
在当今数字化时代,软件安全问题愈发突显,而开源软件的广泛应用更是为安全挑战蒙上了一层阴影。开源软件漏洞
再谈“软件定义汽车”,剖析SOAFEE的成绩、打法和目标
SOAFEE方面取得了斐然的成绩,让“软件定义汽车”不再是一句口号,而是汽车产业升级的法宝。 SOAFEE的三大价值 回顾2021年时的发布,Arm公司表示推进
工商网监
评论