diposting di

Editor's brief: Dengan meningkatnya pelanggaran keamanan siber karena ancaman eksternal serta masalah kualitas perangkat lunak, ada kebutuhan mendesak untuk serius dengan Software Bill of Materials (SBOM). Dan dengan fenomena WFH (work frome home) yang masih memaksa banyak orang untuk bekerja dari jarak jauh, tantangan penyimpanan data yang tidak aman dan kerentanan komunikasi telah meningkat, karena kantor cenderung memiliki lebih banyak pertahanan dan kontrol perimeter. Rilis vendor di bawah ini.

Synopsys Research Menemukan Kerentanan di 97% Aplikasi, 36% Dipengaruhi oleh Kerentanan Kritis atau Berisiko Tinggi

Laporan Snapshot Kerentanan Perangkat Lunak 2021 memeriksa prevalensi kerentanan yang diidentifikasi oleh Layanan Pengujian Keamanan Aplikasi Synopsys

SINGAPURA, @mcgallen #microwireinfo, 17 November 2021 - Synopsys, Inc.. (Nasdaq: SNPS) hari ini diterbitkan “Cuplikan Kerentanan Perangkat Lunak 2021: Analisis oleh Layanan Pengujian Keamanan Aplikasi Synopsys,” sebuah laporan yang memeriksa data dari 3,900 pengujian yang dilakukan pada 2,600 target (yaitu, perangkat lunak atau sistem) selama tahun 2020. Data, yang dikumpulkan oleh pengujian yang dilakukan oleh konsultan keamanan Synopsys di pusat penilaian kami untuk pelanggan kami, termasuk pengujian penetrasi, pengujian keamanan aplikasi dinamis , dan analisis keamanan aplikasi seluler, yang dirancang untuk menyelidiki aplikasi yang sedang berjalan seperti yang dilakukan oleh penyerang di dunia nyata.

Delapan puluh tiga persen dari target yang diuji adalah aplikasi atau sistem web, 12% adalah aplikasi seluler, dan sisanya adalah kode sumber atau sistem/aplikasi jaringan. Industri yang diwakili dalam tes termasuk perangkat lunak dan internet, layanan keuangan, layanan bisnis, manufaktur, media dan hiburan, dan perawatan kesehatan.

“Penyebaran berbasis cloud, kerangka kerja teknologi modern, dan kecepatan pengiriman yang cepat memaksa kelompok keamanan untuk bereaksi lebih cepat saat perangkat lunak dirilis,” kata Girish Janardhanudu, wakil presiden, konsultan keamanan di Synopsys Software Integrity Group. “Dengan sumber daya AppSec yang tidak mencukupi di pasar, organisasi memanfaatkan layanan pengujian aplikasi seperti yang disediakan Synopsys untuk secara fleksibel menskalakan pengujian keamanan mereka. Kami telah melihat peningkatan besar dalam permintaan penilaian selama pandemi.”

Dalam 3,900 tes yang dilakukan, 97% dari target ditemukan memiliki beberapa bentuk kerentanan. Tiga puluh persen dari target memiliki kerentanan berisiko tinggi, dan 6% memiliki kerentanan risiko kritis. Hasilnya menunjukkan bahwa pendekatan terbaik untuk pengujian keamanan adalah dengan memanfaatkan spektrum luas alat yang tersedia untuk membantu memastikan aplikasi atau sistem bebas dari kerentanan. Misalnya, 28% dari total target pengujian memiliki beberapa paparan terhadap serangan skrip lintas situs (XSS), salah satu kerentanan berisiko tinggi/kritis yang paling umum dan merusak yang memengaruhi aplikasi web. Banyak kerentanan XSS terjadi hanya ketika aplikasi sedang berjalan.

Sorotan laporan lainnya

  • 2021 OWASP Top 10 kerentanan ditemukan di 76% dari target. Kesalahan konfigurasi aplikasi dan server adalah 21% dari keseluruhan kerentanan yang ditemukan dalam pengujian, diwakili oleh kategori Kesalahan Konfigurasi Keamanan OWASP A05:2021. Dan 19% dari total kerentanan yang ditemukan terkait dengan kategori OWASP A01:2021 — Kontrol Akses Rusak.
  • Penyimpanan data yang tidak aman dan kerentanan komunikasi mengganggu aplikasi seluler.Delapan puluh persen dari kerentanan yang ditemukan dalam pengujian seluler terkait dengan penyimpanan data yang tidak aman. Kerentanan ini dapat memungkinkan penyerang untuk mendapatkan akses ke perangkat seluler baik secara fisik (yaitu, mengakses perangkat yang dicuri) atau melalui malware. Lima puluh tiga persen dari pengujian seluler menemukan kerentanan yang terkait dengan komunikasi yang tidak aman.
  • Bahkan kerentanan berisiko rendah dapat dimanfaatkan untuk memfasilitasi serangan. Enam puluh empat persen dari kerentanan yang ditemukan dalam pengujian dianggap berisiko minimal, rendah, atau sedang. Artinya, masalah yang ditemukan tidak secara langsung dapat dieksploitasi oleh penyerang untuk mendapatkan akses ke sistem atau data sensitif. Meskipun demikian, memunculkan kerentanan ini bukanlah latihan kosong, karena kerentanan dengan risiko yang lebih rendah pun dapat dieksploitasi untuk memfasilitasi serangan. Misalnya, spanduk server verbose — ditemukan di 49% pengujian — memberikan informasi seperti nama server, jenis, dan nomor versi, yang dapat memungkinkan penyerang melakukan serangan yang ditargetkan pada tumpukan teknologi tertentu.
  • Kebutuhan mendesak untuk perangkat lunak Bill of Materials. Yang perlu diperhatikan adalah jumlah perpustakaan pihak ketiga yang rentan yang digunakan, ditemukan di 18% dari tes penetrasi yang dilakukan oleh Synopsys Application Testing Services. Ini sesuai dengan kategori 2021 Teratas OWASP 10 A06:2021 — Penggunaan Komponen Rentan dan Kedaluwarsa. Sebagian besar organisasi biasanya menggunakan campuran kode yang dibuat khusus, kode komersial, dan komponen sumber terbuka untuk membuat perangkat lunak yang mereka jual atau gunakan secara internal. Seringkali organisasi tersebut memiliki inventaris informal — atau tidak sama sekali — yang merinci dengan tepat komponen apa yang digunakan perangkat lunak mereka, serta lisensi, versi, dan status patch komponen tersebut. Dengan banyak perusahaan yang memiliki ratusan aplikasi atau sistem perangkat lunak yang digunakan, masing-masing kemungkinan memiliki ratusan hingga ribuan komponen pihak ketiga dan sumber terbuka yang berbeda, perangkat lunak yang akurat dan terkini Bill of Materials sangat dibutuhkan untuk melacak komponen tersebut secara efektif .

Untuk mempelajari lebih lanjut, unduh "Cuplikan Kerentanan Perangkat Lunak 2021: Analisis oleh Layanan Pengujian Keamanan Aplikasi Synopsys,” atau baca posting blog.

Tentang Grup Integritas Perangkat Lunak Synopsys

Synopsys Software Integrity Group membantu tim pengembangan membangun perangkat lunak yang aman dan berkualitas tinggi, meminimalkan risiko sekaligus memaksimalkan kecepatan dan produktivitas. Synopsys, pemimpin yang diakui dalam keamanan aplikasi, menyediakan analisis statis, analisis komposisi perangkat lunak, dan solusi analisis dinamis yang memungkinkan tim dengan cepat menemukan dan memperbaiki kerentanan dan cacat pada kode kepemilikan, komponen sumber terbuka, dan perilaku aplikasi. Dengan kombinasi alat, layanan, dan keahlian industri terkemuka, hanya Synopsys yang membantu organisasi mengoptimalkan keamanan dan kualitas di DevSecOps dan sepanjang siklus hidup pengembangan perangkat lunak. Pelajari lebih lanjut di www.synopsys.com/software.

Tentang Synopsys

Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software ™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan S&P 500, Synopsys memiliki sejarah panjang menjadi pemimpin global dalam otomasi desain elektronik (EDA) dan IP semikonduktor dan menawarkan portofolio alat dan layanan pengujian keamanan aplikasi terluas di industri. Baik Anda perancang system-on-chip (SoC) yang membuat semikonduktor canggih, atau pengembang perangkat lunak yang menulis kode berkualitas tinggi yang lebih aman, Synopsys memiliki solusi yang diperlukan untuk menghadirkan produk inovatif. Pelajari lebih lanjut di www.synopsys.com.

# # #