新思科技發布《2022年軟件漏洞快照》報告

95%的應用存在漏洞，其中25%受到嚴重或高風險漏洞影響

軟件是大多數企業與客戶交互的方式。很明顯，企業不僅應該使用靜態分析和軟件組成分析工具來測試web應用中的常見缺陷、漏洞和錯誤配置；而且還應該以攻擊者探測它們的方式來測試其正在運行的web應用。全方位的應用安全測試是當今世界管理軟件風險的重要手段之一。

新思科技(Synopsys, Nasdaq: SNPS)近日發布了《2022年軟件漏洞快照》報告。該報告審查了對 2,700多 個目標軟件進行的 4,300 多次安全測試的結果，包括 Web 應用、移動應用、源代碼文件和網絡系統（即軟件或系統）。大多數安全測試是侵入式“黑盒”或“灰盒”測試，包括滲透測試、動態應用安全測試 (DAST) 和移動應用安全測試 (MAST)，旨在探測在真實環境不法分子會如何攻擊正在運行的應用。

研究發現，82% 的測試目標是 Web 應用或系統，13% 是移動應用，其余是源代碼或網絡系統/應用。參與測試的行業包括軟件和互聯網、金融服務、商業服務、制造業、消費者服務和醫療保健。

在進行的 4,300 多次測試中，新思科技發現 95% 的目標應用存在某種形式的漏洞（比去年的調查結果減少了 2%）； 20%存在高危漏洞（比去年減少 10%）；4.5%存在嚴重漏洞（比去年減少 1.5%）。

結果表明，安全測試的最佳方法是利用廣泛的可用工具，包括靜態分析、動態分析和軟件組成分析，以幫助確保應用或系統沒有漏洞。例如，總測試目標中有 22% 暴露于跨站點腳本 (XSS) 漏洞。這是影響 Web 應用最普遍和最具破壞性的高/嚴重風險漏洞之一。許多 XSS 漏洞發生在應用運行時。好消息是，今年的調查結果中發現的風險比去年低 6%。這意味著企業正在采取積極措施，以減少其應用中的 XSS 漏洞。

新思科技軟件質量與安全部門安全咨詢副總裁Girish Janardhanudu指出：“此研究報告強調，采用諸如DAST 和滲透測試等侵入式黑盒測試技術，可以有效發現軟件開發生命周期中的漏洞。一個全面的應用安全測試方案應該將這類安全工具應該納入其中。”

《2022年軟件漏洞快照》報告還發現：

·        在 78% 的目標應用中發現了 OWASP 排名前 10 的漏洞。應用和服務器配置錯誤占測試中發現的總體漏洞的 18%（比去年的調查結果減少 3%），以 OWASP “A05:2021 - 安全配置錯誤”為主。發現的漏洞總數中有 18% 可歸為2021 OWASP Top 10中的“A01:2021 – 訪問控制失效”（比去年減少 1%）。

·        迫切需要軟件物料清單(SBOM)。在 21% 的滲透測試中發現了易受攻擊的第三方庫（比去年的調查結果增加了 3%）。這對應于 2021 年 OWASP 排名前 10 名中的“A06:2021 - 易受攻擊和過時的組件”。大多數企業混合使用定制代碼、商業現成代碼和開源組件來創建他們在銷售或內部使用的軟件。這些企業通常有非正式的（或沒有）物料清單，不能詳細說明他們的軟件正在使用哪些組件，以及這些組件的許可證、版本和補丁狀態。許多公司在使用數百個應用或軟件系統，每個公司本身可能有成百上千個不同的第三方和開源組件。因此，他們迫切需要準確、最新的SBOM，以有效追蹤這些組件。

·        低風險漏洞也會被利用以發起攻擊。在測試中發現的漏洞中有 72% 被認為是低風險或中等風險。也就是說，攻擊者無法直接利用發現的漏洞來訪問系統或敏感數據。盡管如此，這些漏洞風險不容小覷，因為不法分子甚至可以利用風險較低的漏洞來發起攻擊。例如，冗長的服務器Banner信息（在49%的DAST測試和 42% 的滲透測試中發現）提供了服務器名稱、類型和版本號等信息，攻擊者可以利用這些信息對特定技術棧發起有針對性的攻擊。