ポストする

編集者の概要:外部の脅威やソフトウェア品質の問題によるサイバーセキュリティ違反の増加に伴い、ソフトウェア部品表(SBOM)を真剣に検討することが急務となっています。 また、WFH(在宅勤務)現象により、多くの人々がリモートで作業することを余儀なくされているため、オフィスの境界防御と制御が強化される傾向があるため、安全でないデータストレージと通信の脆弱性の課題が深刻化しています。 ベンダーのリリースは以下のとおりです。

Synopsys 調査によると、アプリケーションの97%に脆弱性があり、36%が重大または高リスクの脆弱性の影響を受けています

2021ソフトウェア脆弱性スナップショットレポートは、によって識別された脆弱性の有病率を調べます Synopsys アプリケーションセキュリティテストサービス

シンガポール、@ mcgallen#microwire情報、17年2021月XNUMX日– Synopsys、Inc。 (Nasdaq:SNPS)本日公開された「2021年のソフトウェア脆弱性スナップショット:による分析 Synopsys アプリケーションセキュリティテストサービス、」3,900年に2,600のターゲット(つまり、ソフトウェアまたはシステム)で実施された2020のテストからのデータを調査するレポート。 Synopsys お客様向けの評価センターのセキュリティコンサルタントには、侵入テスト、動的アプリケーションセキュリティテスト、モバイルアプリケーションセキュリティ分析が含まれ、実際の攻撃者と同じように実行中のアプリケーションを調査するように設計されています。

テストされたターゲットの12%はWebアプリケーションまたはシステムであり、XNUMX%はモバイルアプリケーションであり、残りはソースコードまたはネットワークシステム/アプリケーションのいずれかでした。 テストに参加した業界には、ソフトウェアとインターネット、金融サービス、ビジネスサービス、製造、メディアとエンターテインメント、ヘルスケアが含まれていました。

「クラウドベースの展開、最新のテクノロジーフレームワーク、および配信の急速なペースにより、ソフトウェアがリリースされると、セキュリティグループはより迅速に対応する必要があります」とセキュリティコンサルティング担当副社長のGirishJanardhanuduは述べています。 Synopsys ソフトウェアインテグリティグループ。 「市場に十分なAppSecリソースがないため、組織は次のようなアプリケーションテストサービスを活用しています。 Synopsys セキュリティテストを柔軟に拡張するために提供します。 パンデミック全体で評価需要が大幅に増加しました。」

実施された3,900のテストでは、ターゲットの97%に何らかの形の脆弱性があることが判明しました。 ターゲットの6%に高リスクの脆弱性があり、28%に重大リスクの脆弱性がありました。 結果は、セキュリティテストへの最善のアプローチは、アプリケーションまたはシステムに脆弱性がないことを確認するために利用可能な幅広いツールを利用することであることを示しています。 たとえば、テストターゲット全体のXNUMX%は、クロスサイトスクリプティング(XSS)攻撃にさらされていました。これは、Webアプリケーションに影響を与える最も一般的で破壊的な高/重大リスクの脆弱性のXNUMXつです。 多くのXSSの脆弱性は、アプリケーションの実行中にのみ発生します。

その他のレポートのハイライト

  • 2021年OWASPトップ10の脆弱性がターゲットの76%で発見されました。 アプリケーションとサーバーの構成ミスは、テストで見つかった全体的な脆弱性の21%であり、OWASP A05:2021 —セキュリティの構成ミスカテゴリで表されています。 また、見つかった脆弱性全体の19%は、OWASP A01:2021 —壊れたアクセス制御カテゴリに関連していました。
  • 安全でないデータストレージと通信の脆弱性は、モバイルアプリケーションを悩ませます。モバイルテストで発見された脆弱性のXNUMX%は、安全でないデータストレージに関連していました。 これらの脆弱性により、攻撃者は物理的に(つまり、盗まれたデバイスにアクセスする)またはマルウェアを介してモバイルデバイスにアクセスできる可能性があります。 モバイルテストのXNUMX%で、安全でない通信に関連する脆弱性が明らかになりました。
  • リスクの低い脆弱性でさえ、攻撃を容易にするために悪用される可能性があります。 テストで発見された脆弱性の49%は、最小、低、または中リスクと見なされます。 つまり、発見された問題は、攻撃者がシステムや機密データにアクセスするために直接悪用することはできません。 それでも、これらの脆弱性を明らかにすることは空の演習ではありません。リスクの低い脆弱性でさえ攻撃を容易にするために悪用される可能性があるからです。 たとえば、テストのXNUMX%に見られる詳細なサーバーバナーは、サーバー名、タイプ、バージョン番号などの情報を提供し、攻撃者が特定のテクノロジースタックに対して標的型攻撃を実行できるようにする可能性があります。
  • ソフトウェア部品表の緊急の必要性。 注目すべきは、使用中の脆弱なサードパーティライブラリの数であり、 Synopsys アプリケーションテストサービス。 これは、2021 OWASPトップ10カテゴリA06:2021 —脆弱で古いコンポーネントの使用に対応します。 ほとんどの組織は通常、カスタムビルドのコード、市販のコード、およびオープンソースコンポーネントを組み合わせて使用​​して、社内で販売または使用するソフトウェアを作成します。 多くの場合、これらの組織には、ソフトウェアが使用しているコンポーネント、およびそれらのコンポーネントのライセンス、バージョン、パッチステータスの詳細を示す非公式の(またはまったくない)インベントリがあります。 多くの企業が数百のアプリケーションまたはソフトウェアシステムを使用しており、それぞれが数百から数千の異なるサードパーティおよびオープンソースコンポーネントを使用している可能性が高いため、これらのコンポーネントを効果的に追跡するには、正確で最新のソフトウェア部品表が緊急に必要です。 。

詳細については、「2021年のソフトウェア脆弱性スナップショット:による分析 Synopsys アプリケーションセキュリティテストサービス、」または ブログ投稿.

約 Synopsys ソフトウェア整合性グループ

Synopsys Software Integrity Groupは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら速度と生産性を最大化するのを支援します。 Synopsysは、アプリケーションセキュリティのリーダーとして認められており、静的分析、ソフトウェア構成分析、および動的分析ソリューションを提供します。これにより、チームは独自のコード、オープンソースコンポーネント、およびアプリケーションの動作の脆弱性と欠陥をすばやく見つけて修正できます。 業界をリードするツール、サービス、専門知識を組み合わせて、 Synopsys 組織がDevSecOpsおよびソフトウェア開発ライフサイクル全体でセキュリティと品質を最適化するのに役立ちます。 詳細については、 WWW。synopsys.com / software.

企業概要 Synopsys

Synopsys、Inc。(Nasdaq:SNPS)は、私たちが日々依存している電子製品とソフトウェアアプリケーションを開発する革新的な企業のSilicontoSoftware™パートナーです。 S&P 500企業として、 Synopsys 電子設計自動化(EDA)および半導体IPのグローバルリーダーであるという長い歴史があり、アプリケーションセキュリティテストツールおよびサービスの業界で最も幅広いポートフォリオを提供しています。 高度な半導体を作成するシステムオンチップ(SoC)設計者でも、より安全で高品質なコードを作成するソフトウェア開発者でも、 Synopsys 革新的な製品を提供するために必要なソリューションを持っています。 詳細については、 WWW。synopsys.COM.

###