2022软件安全年终大考成绩公布:95%软件都有漏洞,你是那5%吗?
新思科技(synopsys)近日发布了《2022年软件漏洞报告》。该报告对2,700多个目标软件进行了4,300多次安全测试,并对结果进行了审查。 报告显示,在4,300多次测试中: 95%的目标应用存在某种形式的漏洞,比去年减少2%
20%存在高危漏洞,比去年减少10%
4.5%存在严重漏洞,比去年减少1.5%
22%的目标测试暴露于跨站点脚本(xss)漏洞。这是影响web应用最普遍和最具破坏性的高/严重风险漏洞之一。许多xss漏洞发生在应用运行时。好消息是,今年的调查结果中发现的风险比去年低6%。这意味着企业正在采取积极措施,以减少其应用中的xss漏洞。 78%的目标应用中发现了owasp排名前10的漏洞。其中,应用和服务器配置错误占测试中发现的总体漏洞的18%(比去年的调查结果减少 3%),以owasp “a05:2021 - 安全配置错误”为主。发现的漏洞总数中有18%可归为2021 owasp top 10中的“a01:2021 – 访问控制失效”(比去年减少1%)。 21%的渗透测试中发现了易受攻击的第三方库(比去年的调查结果增加了3%)。这对应于2021年owasp排名前10名中的“a06:2021-易受攻击和过时的组件”。大多数企业混合使用定制代码、商业现成代码和开源组件来创建他们在销售或内部使用的软件。这些企业通常有非正式的(或没有)物料清单,不能详细说明他们的软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态。许多公司在使用数百个应用或软件系统,每个公司本身可能有成百上千个不同的第三方和开源组件。因此,他们迫切需要准确、最新的软件物料清单(sbom),以有效追踪这些组件。 72%的漏洞被认为是低风险或中等风险。也就是说,攻击者无法直接利用发现的漏洞来访问系统或敏感数据。尽管如此,这些漏洞风险不容小觑,因为不法分子甚至可以利用风险较低的漏洞来发起攻击。例如,冗长的服务器banner信息(在49%的dast测试和42%的渗透测试中发现)提供了服务器名称、类型和版本号等信息,攻击者可以利用这些信息对特定技术栈发起有针对性的攻击。 所以说,低风险漏洞同样不容小觑,也会被利用以发起攻击。
此研究报告强调,采用诸如dast和渗透测试等侵入式黑盒测试技术,可以有效发现软件开发生命周期中的漏洞。一个全面的应用安全测试方案应该将这类安全工具纳入其中。 girish janardhanudu软件质量与安全部门安全咨询副总裁新思科技
本报告中的大多数安全测试是侵入式“黑盒”或“灰盒”测试,包括渗透测试、动态应用安全测试(dast)和移动应用安全测试(mast),旨在探测在真实环境不法分子会如何攻击正在运行的应用。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。其中82%的测试目标是web应用或系统,13%是移动应用,其余则是源代码或网络系统/应用。安全测试的最佳方法是利用广泛的可用工具,包括静态分析、动态分析和软件组成分析,以帮助确保应用或系统没有漏洞。 扫描下方二维码,查看完整报告
原文标题:2022软件安全年终大考成绩公布:95%软件都有漏洞,你是那5%吗?
文章出处:【微信公众号:新思科技】欢迎添加关注!文章转载请注明出处。
低价的智能音箱物有所值吗?人工智能靠“补贴”能否有效落地?
朱老师邀请你免费参加LeaTech全球CTO领导力峰会
云、安全性以及如何保护基础架构
高交会:新一代5G+AIoT如何赋能高科技企业 干货满满
师吉姆·苏瓦:预估苹果会宣布把股东回报计划的规模提高1000亿美元
2022软件安全年终大考成绩公布:95%软件都有漏洞,你是那5%吗?
反激式开关电源设计步骤详解
教你最基础的PCB线路排版知识
RFID电子标签技术让奶粉产品实现溯源系统
RISC-V 高算力MCU新品抢先亮相Elexcon电子展 爱普特助力打造RISC-V MCU生态
三极管-功率半导体元器件的未来替代空间大
CAN驱动开发中使用CAN收发器遇到的问题
快讯:比亚迪成立电池新公司 蔚来ET7在全国各地陆续开启交付
浅谈51单片机与直流电机的PWM调速系统设计
东芝半导体为数据中心提供高容量存储方案
Core-3566JD4四核64位AI核心板
酷家乐入选智博会“2018人工智能创新应用50强”
首届人工智能安全峰会在英国召开
民用无人驾驶航空试验基地落地安阳市,安阳市试验区具有哪些优势
三星电子将于1月推出OLED显示器
20%存在高危漏洞,比去年减少10%
4.5%存在严重漏洞,比去年减少1.5%
22%的目标测试暴露于跨站点脚本(xss)漏洞。这是影响web应用最普遍和最具破坏性的高/严重风险漏洞之一。许多xss漏洞发生在应用运行时。好消息是,今年的调查结果中发现的风险比去年低6%。这意味着企业正在采取积极措施,以减少其应用中的xss漏洞。 78%的目标应用中发现了owasp排名前10的漏洞。其中,应用和服务器配置错误占测试中发现的总体漏洞的18%(比去年的调查结果减少 3%),以owasp “a05:2021 - 安全配置错误”为主。发现的漏洞总数中有18%可归为2021 owasp top 10中的“a01:2021 – 访问控制失效”(比去年减少1%)。 21%的渗透测试中发现了易受攻击的第三方库(比去年的调查结果增加了3%)。这对应于2021年owasp排名前10名中的“a06:2021-易受攻击和过时的组件”。大多数企业混合使用定制代码、商业现成代码和开源组件来创建他们在销售或内部使用的软件。这些企业通常有非正式的(或没有)物料清单,不能详细说明他们的软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态。许多公司在使用数百个应用或软件系统,每个公司本身可能有成百上千个不同的第三方和开源组件。因此,他们迫切需要准确、最新的软件物料清单(sbom),以有效追踪这些组件。 72%的漏洞被认为是低风险或中等风险。也就是说,攻击者无法直接利用发现的漏洞来访问系统或敏感数据。尽管如此,这些漏洞风险不容小觑,因为不法分子甚至可以利用风险较低的漏洞来发起攻击。例如,冗长的服务器banner信息(在49%的dast测试和42%的渗透测试中发现)提供了服务器名称、类型和版本号等信息,攻击者可以利用这些信息对特定技术栈发起有针对性的攻击。 所以说,低风险漏洞同样不容小觑,也会被利用以发起攻击。
此研究报告强调,采用诸如dast和渗透测试等侵入式黑盒测试技术,可以有效发现软件开发生命周期中的漏洞。一个全面的应用安全测试方案应该将这类安全工具纳入其中。 girish janardhanudu软件质量与安全部门安全咨询副总裁新思科技
本报告中的大多数安全测试是侵入式“黑盒”或“灰盒”测试,包括渗透测试、动态应用安全测试(dast)和移动应用安全测试(mast),旨在探测在真实环境不法分子会如何攻击正在运行的应用。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。其中82%的测试目标是web应用或系统,13%是移动应用,其余则是源代码或网络系统/应用。安全测试的最佳方法是利用广泛的可用工具,包括静态分析、动态分析和软件组成分析,以帮助确保应用或系统没有漏洞。 扫描下方二维码,查看完整报告
原文标题:2022软件安全年终大考成绩公布:95%软件都有漏洞,你是那5%吗?
文章出处:【微信公众号:新思科技】欢迎添加关注!文章转载请注明出处。
低价的智能音箱物有所值吗?人工智能靠“补贴”能否有效落地?
朱老师邀请你免费参加LeaTech全球CTO领导力峰会
云、安全性以及如何保护基础架构
高交会:新一代5G+AIoT如何赋能高科技企业 干货满满
师吉姆·苏瓦:预估苹果会宣布把股东回报计划的规模提高1000亿美元
2022软件安全年终大考成绩公布:95%软件都有漏洞,你是那5%吗?
反激式开关电源设计步骤详解
教你最基础的PCB线路排版知识
RFID电子标签技术让奶粉产品实现溯源系统
RISC-V 高算力MCU新品抢先亮相Elexcon电子展 爱普特助力打造RISC-V MCU生态
三极管-功率半导体元器件的未来替代空间大
CAN驱动开发中使用CAN收发器遇到的问题
快讯:比亚迪成立电池新公司 蔚来ET7在全国各地陆续开启交付
浅谈51单片机与直流电机的PWM调速系统设计
东芝半导体为数据中心提供高容量存储方案
Core-3566JD4四核64位AI核心板
酷家乐入选智博会“2018人工智能创新应用50强”
首届人工智能安全峰会在英国召开
民用无人驾驶航空试验基地落地安阳市,安阳市试验区具有哪些优势
三星电子将于1月推出OLED显示器