Poted on

편집자 요약: 소프트웨어 품질 문제뿐만 아니라 외부 위협으로 인한 사이버 보안 침해가 증가함에 따라 SBOM(Software Bill of Materials)을 심각하게 고려해야 할 절박한 필요성이 있습니다. 그리고 WFH(재택 근무) 현상으로 인해 여전히 많은 사람들이 원격으로 작업해야 하므로 사무실에 더 많은 경계 방어 및 제어 기능이 있는 경향이 있기 때문에 안전하지 않은 데이터 저장 및 통신 취약성의 문제가 확대되었습니다. 벤더의 릴리스는 다음과 같습니다.

Synopsys 연구에 따르면 애플리케이션의 97%에서 취약점이 발견되고 36%가 치명적 또는 고위험 취약점의 영향을 받습니다.

2021년 소프트웨어 취약점 스냅샷 보고서는 다음으로 식별된 취약점의 확산을 조사합니다. Synopsys 애플리케이션 보안 테스트 서비스

싱가포르, @mcgallen #microwireinfo, 17 년 2021 월 XNUMX 일 – Synopsys, Inc의. (Nasdaq: SNPS)는 오늘 “2021년 소프트웨어 취약점 스냅샷: 분석 Synopsys 애플리케이션 보안 테스트 서비스,” 3,900년 동안 2,600개 대상(즉, 소프트웨어 또는 시스템)에 대해 수행된 2020건의 테스트 데이터를 조사한 보고서. Synopsys 실제 공격자가 하는 것처럼 실행 중인 애플리케이션을 조사하도록 설계된 침투 테스트, 동적 애플리케이션 보안 테스트 및 모바일 애플리케이션 보안 분석을 포함하는 고객을 위한 평가 센터의 보안 컨설턴트.

테스트 대상의 12%는 웹 애플리케이션 또는 시스템이었고, XNUMX%는 모바일 애플리케이션이었고, 나머지는 소스 코드 또는 네트워크 시스템/애플리케이션이었습니다. 테스트에 포함된 산업에는 소프트웨어 및 인터넷, 금융 서비스, 비즈니스 서비스, 제조, 미디어 및 엔터테인먼트, 의료가 포함됩니다.

기리쉬 자나르다누두(Girish Janardhanudu) 보안 컨설팅 부사장은 “클라우드 기반 배포, 최신 기술 프레임워크, 빠른 제공 속도 때문에 보안 그룹은 소프트웨어가 출시될 때 더 빠르게 대응해야 합니다. Synopsys 소프트웨어 무결성 그룹. "시장에 AppSec 리소스가 부족하여 조직은 다음과 같은 애플리케이션 테스트 서비스를 활용하고 있습니다. Synopsys 보안 테스트를 유연하게 확장하기 위해 제공합니다. 팬데믹 기간 동안 평가 수요가 크게 증가했습니다.”

수행된 3,900번의 테스트에서 대상의 97%가 어떤 형태로든 취약성이 있는 것으로 나타났습니다. 대상의 6%에는 고위험 취약점이 있었고 28%에는 치명적인 취약점이 있었습니다. 결과는 보안 테스트에 대한 최상의 접근 방식이 응용 프로그램이나 시스템에 취약성이 없는지 확인하는 데 도움이 되는 광범위한 도구를 활용하는 것임을 보여줍니다. 예를 들어, 전체 테스트 대상의 XNUMX%가 웹 애플리케이션에 영향을 미치는 가장 널리 퍼져 있고 파괴적인 고/중요 위험 취약점 중 하나인 XSS(교차 사이트 스크립팅) 공격에 노출되었습니다. 많은 XSS 취약점은 애플리케이션이 실행 중일 때만 발생합니다.

기타 보고서 하이라이트

  • 2021년 OWASP 상위 10개 취약점은 대상의 76%에서 발견되었습니다. 애플리케이션 및 서버 구성 오류는 테스트에서 발견된 전체 취약성의 21%였으며 OWASP A05:2021 — 보안 구성 오류 범주로 표시됩니다. 그리고 발견된 전체 취약점의 19%는 OWASP A01:2021 — Broken Access Control 카테고리와 관련이 있습니다.
  • 안전하지 않은 데이터 저장 및 통신 취약점은 모바일 애플리케이션을 괴롭히고 있습니다.모바일 테스트에서 발견된 취약점의 XNUMX%는 안전하지 않은 데이터 저장과 관련이 있습니다. 이러한 취약점으로 인해 공격자는 물리적으로(즉, 도난당한 장치에 액세스) 또는 맬웨어를 통해 모바일 장치에 액세스할 수 있습니다. 모바일 테스트의 XNUMX%는 안전하지 않은 통신과 관련된 취약점을 발견했습니다.
  • 위험이 낮은 취약점도 공격을 용이하게 하기 위해 악용될 수 있습니다. 테스트에서 발견된 취약점의 49%는 최소, 낮음 또는 중간 위험으로 간주됩니다. 즉, 발견된 문제는 공격자가 시스템이나 민감한 데이터에 액세스하기 위해 직접 악용할 수 없습니다. 그럼에도 불구하고 이러한 취약성을 드러내는 것은 공허한 작업이 아닙니다. 위험이 낮은 취약성도 공격을 용이하게 하기 위해 악용될 수 있기 때문입니다. 예를 들어 테스트의 XNUMX%에서 발견되는 자세한 서버 배너는 서버 이름, 유형 및 버전 번호와 같은 정보를 제공하여 공격자가 특정 기술 스택에 대한 표적 공격을 수행할 수 있도록 합니다.
  • 소프트웨어 BOM이 시급합니다. 주목할만한 것은 사용 중인 취약한 타사 라이브러리의 수로, Synopsys 애플리케이션 테스트 서비스. 이는 2021 OWASP 상위 10개 카테고리 A06:2021 - 취약하고 오래된 구성 요소 사용에 해당합니다. 대부분의 조직은 일반적으로 사용자 정의 빌드 코드, 상용 기성품 코드 및 오픈 소스 구성 요소를 혼합하여 내부적으로 판매하거나 사용하는 소프트웨어를 만듭니다. 종종 이러한 조직에는 소프트웨어에서 사용하는 구성 요소와 해당 구성 요소의 라이선스, 버전 및 패치 상태를 자세히 설명하는 비공식 인벤토리가 있거나 아예 없습니다. 많은 회사에서 수백에서 수천 개의 서로 다른 타사 및 오픈 소스 구성 요소를 사용할 수 있는 수백 개의 응용 프로그램 또는 소프트웨어 시스템을 사용하고 있으므로 이러한 구성 요소를 효과적으로 추적하려면 정확한 최신 소프트웨어 BOM이 시급합니다. .

자세히 알아보려면 "2021년 소프트웨어 취약점 스냅샷: 분석 Synopsys 애플리케이션 보안 테스트 서비스,"를 읽거나 블로그 게시물.

정보 Synopsys 소프트웨어 무결성 그룹

Synopsys Software Integrity Group은 개발 팀이 속도와 생산성을 최대화하면서 위험을 최소화하는 안전한 고품질 소프트웨어를 구축할 수 있도록 지원합니다. Synopsys애플리케이션 보안 분야에서 인정받는 리더로서 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작에서 취약점과 결함을 신속하게 찾고 수정할 수 있도록 합니다. 업계 최고의 도구, 서비스 및 전문 지식의 조합을 통해 오직 Synopsys 조직이 DevSecOps 및 소프트웨어 개발 수명 주기 전반에 걸쳐 보안 및 품질을 최적화할 수 있도록 지원합니다. 자세히 알아보기 WWW.synopsys.com/software.

소개 Synopsys

Synopsys, Inc.(Nasdaq: SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 애플리케이션을 개발하는 혁신적인 기업을 위한 Silicon to Software™ 파트너입니다. S&P 500 기업으로서, Synopsys 전자 설계 자동화(EDA) 및 반도체 IP 분야의 글로벌 리더로서의 오랜 역사를 가지고 있으며 업계에서 가장 광범위한 애플리케이션 보안 테스트 도구 및 서비스 포트폴리오를 제공합니다. 고급 반도체를 만드는 SoC(System-on-Chip) 설계자이든, 보다 안전한 고품질 코드를 작성하는 소프트웨어 개발자이든, Synopsys 혁신적인 제품을 제공하는 데 필요한 솔루션을 보유하고 있습니다. 자세히 알아보기 WWW.synopsys.COM.

# # #