麻豆国产AV原创精选久久,亚洲AV隐私网站

新思科技（Synopsys）近日發(fā)布了《2022年軟件漏洞報(bào)告》。該報(bào)告對(duì)2,700多個(gè)目標(biāo)軟件進(jìn)行了4,300多次安全測(cè)試，并對(duì)結(jié)果進(jìn)行了審查。報(bào)告顯示，在4,300多次測(cè)試中：

95%的目標(biāo)應(yīng)用存在某種形式的漏洞，比去年減少2%

20%存在高危漏洞，比去年減少10%

4.5%存在嚴(yán)重漏洞，比去年減少1.5%

?22%的目標(biāo)測(cè)試暴露于跨站點(diǎn)腳本（XSS）漏洞。這是影響Web應(yīng)用最普遍和最具破壞性的高/嚴(yán)重風(fēng)險(xiǎn)漏洞之一。許多XSS漏洞發(fā)生在應(yīng)用運(yùn)行時(shí)。好消息是，今年的調(diào)查結(jié)果中發(fā)現(xiàn)的風(fēng)險(xiǎn)比去年低6%。這意味著企業(yè)正在采取積極措施，以減少其應(yīng)用中的XSS漏洞。 78%的目標(biāo)應(yīng)用中發(fā)現(xiàn)了OWASP排名前10的漏洞。其中，應(yīng)用和服務(wù)器配置錯(cuò)誤占測(cè)試中發(fā)現(xiàn)的總體漏洞的18%（比去年的調(diào)查結(jié)果減少 3%），以O(shè)WASP “A05:2021 - 安全配置錯(cuò)誤”為主。發(fā)現(xiàn)的漏洞總數(shù)中有18%可歸為2021 OWASP Top 10中的“A01:2021 – 訪問控制失效”（比去年減少1%）。 21%的滲透測(cè)試中發(fā)現(xiàn)了易受攻擊的第三方庫(kù)（比去年的調(diào)查結(jié)果增加了3%）。這對(duì)應(yīng)于2021年OWASP排名前10名中的“A06:2021-易受攻擊和過時(shí)的組件”。大多數(shù)企業(yè)混合使用定制代碼、商業(yè)現(xiàn)成代碼和開源組件來創(chuàng)建他們?cè)阡N售或內(nèi)部使用的軟件。這些企業(yè)通常有非正式的（或沒有）物料清單，不能詳細(xì)說明他們的軟件正在使用哪些組件，以及這些組件的許可證、版本和補(bǔ)丁狀態(tài)。許多公司在使用數(shù)百個(gè)應(yīng)用或軟件系統(tǒng)，每個(gè)公司本身可能有成百上千個(gè)不同的第三方和開源組件。因此，他們迫切需要準(zhǔn)確、最新的軟件物料清單（SBOM），以有效追蹤這些組件。 72%的漏洞被認(rèn)為是低風(fēng)險(xiǎn)或中等風(fēng)險(xiǎn)。也就是說，攻擊者無法直接利用發(fā)現(xiàn)的漏洞來訪問系統(tǒng)或敏感數(shù)據(jù)。盡管如此，這些漏洞風(fēng)險(xiǎn)不容小覷，因?yàn)椴环ǚ肿由踔量梢岳蔑L(fēng)險(xiǎn)較低的漏洞來發(fā)起攻擊。例如，冗長(zhǎng)的服務(wù)器Banner信息（在49%的DAST測(cè)試和42%的滲透測(cè)試中發(fā)現(xiàn)）提供了服務(wù)器名稱、類型和版本號(hào)等信息，攻擊者可以利用這些信息對(duì)特定技術(shù)棧發(fā)起有針對(duì)性的攻擊。所以說，低風(fēng)險(xiǎn)漏洞同樣不容小覷，也會(huì)被利用以發(fā)起攻擊。

此研究報(bào)告強(qiáng)調(diào)，采用諸如DAST和滲透測(cè)試等侵入式黑盒測(cè)試技術(shù)，可以有效發(fā)現(xiàn)軟件開發(fā)生命周期中的漏洞。一個(gè)全面的應(yīng)用安全測(cè)試方案應(yīng)該將這類安全工具納入其中。 Girish Janardhanudu軟件質(zhì)量與安全部門安全咨詢副總裁新思科技

?本報(bào)告中的大多數(shù)安全測(cè)試是侵入式“黑盒”或“灰盒”測(cè)試，包括滲透測(cè)試、動(dòng)態(tài)應(yīng)用安全測(cè)試（DAST）和移動(dòng)應(yīng)用安全測(cè)試（MAST），旨在探測(cè)在真實(shí)環(huán)境不法分子會(huì)如何攻擊正在運(yùn)行的應(yīng)用。參與測(cè)試的行業(yè)包括軟件和互聯(lián)網(wǎng)、金融服務(wù)、商業(yè)服務(wù)、制造業(yè)、消費(fèi)者服務(wù)和醫(yī)療保健。其中82%的測(cè)試目標(biāo)是Web應(yīng)用或系統(tǒng)，13%是移動(dòng)應(yīng)用，其余則是源代碼或網(wǎng)絡(luò)系統(tǒng)/應(yīng)用。安全測(cè)試的最佳方法是利用廣泛的可用工具，包括靜態(tài)分析、動(dòng)態(tài)分析和軟件組成分析，以幫助確保應(yīng)用或系統(tǒng)沒有漏洞。 掃描下方二維碼，查看完整報(bào)告

原文標(biāo)題：2022軟件安全年終大考成績(jī)公布：95%軟件都有漏洞，你是那5%嗎？

文章出處：【微信公眾號(hào)：新思科技】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請(qǐng)聯(lián)系本站處理。舉報(bào)投訴