Publié le

Note de l'éditeur : Avec l'augmentation des violations de la cybersécurité dues à des menaces externes ainsi qu'à des problèmes de qualité logicielle, il est urgent de prendre au sérieux une nomenclature de logiciels (SBOM). Et avec le phénomène WFH (travail à domicile) obligeant toujours de nombreuses personnes à travailler à distance, les défis du stockage de données non sécurisé et des vulnérabilités de communication se sont intensifiés, car les bureaux ont tendance à avoir plus de défenses et de contrôles de périmètre. La version du fournisseur est ci-dessous.

Synopsys Research trouve des vulnérabilités dans 97 % des applications, 36 % affectées par des vulnérabilités critiques ou à haut risque

Le rapport 2021 Software Vulnerability Snapshot examine la prévalence des vulnérabilités identifiées par Synopsys Application Security Testing Services

SINGAPOUR, @mcgallen #microwireinfo, 17 novembre 2021 - Synopsys, Inc. (Nasdaq : SNPS) a publié aujourd'hui "Instantané de vulnérabilité logicielle 2021 : une analyse par les services de test de sécurité des applications Synopsys", un rapport examinant les données de 3,900 2,600 tests effectués sur 2020 XNUMX cibles (c'est-à-dire des logiciels ou des systèmes) en XNUMX. Les données, compilées par des tests effectués par les consultants en sécurité de Synopsys dans nos centres d'évaluation pour nos clients, comprenaient des tests de pénétration, des tests de sécurité d'application dynamiques , et des analyses de sécurité des applications mobiles, conçues pour sonder les applications en cours d'exécution comme le ferait un attaquant réel.

Quatre-vingt-trois pour cent des cibles testées étaient des applications ou des systèmes Web, 12 % étaient des applications mobiles et le reste était soit du code source, soit des systèmes/applications réseau. Les secteurs représentés dans les tests comprenaient les logiciels et Internet, les services financiers, les services aux entreprises, la fabrication, les médias et le divertissement, et les soins de santé.

« Les déploiements basés sur le cloud, les cadres technologiques modernes et le rythme rapide de livraison obligent les groupes de sécurité à réagir plus rapidement à mesure que le logiciel est publié », a déclaré Girish Janardhanudu, vice-président, conseil en sécurité chez Synopsys Software Integrity Group. « Avec des ressources AppSec insuffisantes sur le marché, les organisations tirent parti des services de test d'applications tels que ceux fournis par Synopsys afin d'étendre de manière flexible leurs tests de sécurité. Nous avons constaté une forte augmentation de la demande d'évaluation tout au long de la pandémie. »

Sur les 3,900 97 tests effectués, 6 % des cibles présentaient une forme de vulnérabilité. Trente pour cent des cibles présentaient des vulnérabilités à haut risque et 28 % des vulnérabilités à risque critique. Les résultats démontrent que la meilleure approche des tests de sécurité consiste à utiliser le large éventail d'outils disponibles pour garantir qu'une application ou un système est exempt de vulnérabilités. Par exemple, XNUMX % des cibles de test totales ont été exposées à une attaque de script intersite (XSS), l'une des vulnérabilités à risque élevé/critique les plus répandues et les plus destructrices affectant les applications Web. De nombreuses vulnérabilités XSS se produisent uniquement lorsque l'application est en cours d'exécution.

Autres faits saillants du rapport

  • Les 2021 vulnérabilités du Top 10 OWASP 76 ont été découvertes dans XNUMX% des cibles. Les erreurs de configuration des applications et des serveurs représentaient 21% des vulnérabilités globales trouvées dans les tests, représentées par la catégorie OWASP A05:2021 - Security Misconfiguration. Et 19% du total des vulnérabilités trouvées étaient liées à la catégorie OWASP A01:2021 - Broken Access Control.
  • Le stockage de données non sécurisé et les vulnérabilités de communication affligent les applications mobiles.Quatre-vingt pour cent des vulnérabilités découvertes dans les tests mobiles étaient liées à un stockage de données non sécurisé. Ces vulnérabilités pourraient permettre à un attaquant d'accéder à un appareil mobile soit physiquement (c'est-à-dire en accédant à un appareil volé) soit via un logiciel malveillant. Cinquante-trois pour cent des tests mobiles ont révélé des vulnérabilités associées à des communications non sécurisées.
  • Même les vulnérabilités à moindre risque peuvent être exploitées pour faciliter les attaques. Soixante-quatre pour cent des vulnérabilités découvertes lors des tests sont considérées comme présentant un risque minime, faible ou moyen. Autrement dit, les problèmes détectés ne sont pas directement exploitables par les attaquants pour accéder aux systèmes ou aux données sensibles. Néanmoins, faire apparaître ces vulnérabilités n'est pas un exercice en l'air, car même des vulnérabilités à faible risque peuvent être exploitées pour faciliter les attaques. Par exemple, les bannières de serveur détaillées - trouvées dans 49 % des tests - fournissent des informations telles que le nom, le type et le numéro de version du serveur, ce qui pourrait permettre aux attaquants d'effectuer des attaques ciblées sur des piles technologiques spécifiques.
  • Un besoin urgent d'une nomenclature logicielle. Il convient de noter le nombre de bibliothèques tierces vulnérables utilisées, trouvé dans 18% des tests d'intrusion menés par Synopsys Application Testing Services. Cela correspond à la catégorie 2021 OWASP Top 10 A06:2021 — Utilisation de composants vulnérables et obsolètes. La plupart des organisations utilisent généralement un mélange de code personnalisé, de code commercial et de composants open source pour créer le logiciel qu'elles vendent ou utilisent en interne. Souvent, ces organisations disposent d'inventaires informels (ou non) détaillant exactement les composants utilisés par leur logiciel, ainsi que les licences, les versions et l'état des correctifs de ces composants. Avec de nombreuses entreprises ayant des centaines d'applications ou de systèmes logiciels en cours d'utilisation, chacune ayant probablement elle-même des centaines à des milliers de composants tiers et open source différents, une nomenclature logicielle précise et à jour est nécessaire de toute urgence pour suivre efficacement ces composants. .

Pour en savoir plus, téléchargez le "Instantané de vulnérabilité logicielle 2021 : une analyse par les services de test de sécurité des applications Synopsys, » ou lisez le article de ce blog.

À propos du groupe d'intégrité logicielle de Synopsys

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

À propos de Synopsys

Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ pour les entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous comptons chaque jour. En tant que société du S&P 500, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et offre le plus large portefeuille d'outils et de services de test de sécurité des applications. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant un code plus sécurisé et de haute qualité, Synopsys dispose des solutions nécessaires pour fournir des produits innovants. En savoir plus sur www.synopsys.com.

###