ポストする

編集者の概要:外部の脅威やソフトウェア品質の問題によるサイバーセキュリティ違反の増加に伴い、ソフトウェア部品表(SBOM)を真剣に検討することが急務となっています。 また、WFH(在宅勤務)現象により、多くの人々がリモートで作業することを余儀なくされているため、オフィスの境界防御と制御が強化される傾向があるため、安全でないデータストレージと通信の脆弱性の課題が深刻化しています。 ベンダーのリリースは以下のとおりです。

Synopsys Researchは、アプリケーションの97%で脆弱性を発見し、36%が重大または高リスクの脆弱性の影響を受けています

2021ソフトウェア脆弱性スナップショットレポートは、Synopsys Application Security TestingServicesによって特定された脆弱性の蔓延を調査します

シンガポール、@ mcgallen#microwire情報、17年2021月XNUMX日– シノプシス。 (Nasdaq:SNPS)本日公開された「2021年のソフトウェア脆弱性スナップショット:Synopsysアプリケーションセキュリティテストサービスによる分析」、3,900年に2,600のターゲット(つまり、ソフトウェアまたはシステム)で実施された2020のテストのデータを調査するレポート。データには、侵入テスト、動的アプリケーションセキュリティテストが含まれます。 、およびモバイルアプリケーションのセキュリティ分析。実際の攻撃者と同じように実行中のアプリケーションを調査するように設計されています。

テストされたターゲットの12%はWebアプリケーションまたはシステムであり、XNUMX%はモバイルアプリケーションであり、残りはソースコードまたはネットワークシステム/アプリケーションのいずれかでした。 テストに参加した業界には、ソフトウェアとインターネット、金融サービス、ビジネスサービス、製造、メディアとエンターテインメント、ヘルスケアが含まれていました。

Synopsys Software IntegrityGroupのセキュリティコンサルティング担当バイスプレジデントであるGirishJanardhanuduは、次のように述べています。 「市場にはAppSecリソースが不足しているため、組織は、セキュリティテストを柔軟に拡張するために、Synopsysが提供するようなアプリケーションテストサービスを活用しています。 パンデミック全体で評価需要が大幅に増加しました。」

実施された3,900のテストでは、ターゲットの97%に何らかの形の脆弱性があることが判明しました。 ターゲットの6%に高リスクの脆弱性があり、28%に重大リスクの脆弱性がありました。 結果は、セキュリティテストへの最善のアプローチは、アプリケーションまたはシステムに脆弱性がないことを確認するために利用可能な幅広いツールを利用することであることを示しています。 たとえば、テストターゲット全体のXNUMX%は、クロスサイトスクリプティング(XSS)攻撃にさらされていました。これは、Webアプリケーションに影響を与える最も一般的で破壊的な高/重大リスクの脆弱性のXNUMXつです。 多くのXSSの脆弱性は、アプリケーションの実行中にのみ発生します。

その他のレポートのハイライト

  • 2021年OWASPトップ10の脆弱性がターゲットの76%で発見されました。 アプリケーションとサーバーの構成ミスは、テストで見つかった全体的な脆弱性の21%であり、OWASP A05:2021 —セキュリティの構成ミスカテゴリで表されています。 また、見つかった脆弱性全体の19%は、OWASP A01:2021 —壊れたアクセス制御カテゴリに関連していました。
  • 安全でないデータストレージと通信の脆弱性は、モバイルアプリケーションを悩ませます。モバイルテストで発見された脆弱性のXNUMX%は、安全でないデータストレージに関連していました。 これらの脆弱性により、攻撃者は物理的に(つまり、盗まれたデバイスにアクセスする)またはマルウェアを介してモバイルデバイスにアクセスできる可能性があります。 モバイルテストのXNUMX%で、安全でない通信に関連する脆弱性が明らかになりました。
  • リスクの低い脆弱性でさえ、攻撃を容易にするために悪用される可能性があります。 テストで発見された脆弱性の49%は、最小、低、または中リスクと見なされます。 つまり、発見された問題は、攻撃者がシステムや機密データにアクセスするために直接悪用することはできません。 それでも、これらの脆弱性を明らかにすることは空の演習ではありません。リスクの低い脆弱性でさえ攻撃を容易にするために悪用される可能性があるからです。 たとえば、テストのXNUMX%に見られる詳細なサーバーバナーは、サーバー名、タイプ、バージョン番号などの情報を提供し、攻撃者が特定のテクノロジースタックに対して標的型攻撃を実行できるようにする可能性があります。
  • ソフトウェア部品表の緊急の必要性。 注目すべきは、使用中の脆弱なサードパーティライブラリの数であり、Synopsys Application Testing Servicesによって実施された侵入テストの18%で見つかりました。 これは、2021 OWASPトップ10カテゴリA06:2021 —脆弱で古いコンポーネントの使用に対応します。 ほとんどの組織は通常、カスタムビルドのコード、市販のコード、およびオープンソースコンポーネントを組み合わせて使用​​して、社内で販売または使用するソフトウェアを作成します。 多くの場合、これらの組織には、ソフトウェアが使用しているコンポーネント、およびそれらのコンポーネントのライセンス、バージョン、パッチステータスの詳細を示す非公式のインベントリがあります。 多くの企業が数百のアプリケーションまたはソフトウェアシステムを使用しており、それぞれが数百から数千の異なるサードパーティおよびオープンソースコンポーネントを使用している可能性が高いため、これらのコンポーネントを効果的に追跡するには、正確で最新のソフトウェア部品表が緊急に必要です。 。

詳細については、「2021年のソフトウェア脆弱性スナップショット:Synopsysアプリケーションセキュリティテストサービスによる分析、」または ブログ投稿.

Synopsys Software Integrity Groupについて

Synopsys Software Integrity Groupは、開発チームが安全で高品質なソフトウェアを構築し、スピードと生産性を最大化しながらリスクを最小限に抑えるのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最適化し、ソフトウェア開発ライフサイクル全体を支援します。 詳細は www.synopsys.com/software.

シノプシスについて

Synopsys、Inc。(Nasdaq:SNPS)は、私たちが日々依存している電子製品とソフトウェアアプリケーションを開発する革新的な企業のSilicontoSoftware™パートナーです。 シノプシスはS&P 500企業として、電子設計自動化(EDA)および半導体IPの世界的リーダーである長い歴史があり、業界で最も幅広いアプリケーションセキュリティテストツールおよびサービスのポートフォリオを提供しています。 高度な半導体を作成するシステムオンチップ(SoC)設計者でも、より安全で高品質のコードを作成するソフトウェア開発者でも、シノプシスは革新的な製品を提供するために必要なソリューションを提供します。 詳細については、 www.synopsys.com.

###