Poted on

편집자 요약: 소프트웨어 품질 문제뿐만 아니라 외부 위협으로 인한 사이버 보안 침해가 증가함에 따라 SBOM(Software Bill of Materials)을 심각하게 고려해야 할 절박한 필요성이 있습니다. 그리고 WFH(재택 근무) 현상으로 인해 여전히 많은 사람들이 원격으로 작업해야 하므로 사무실에 더 많은 경계 방어 및 제어 기능이 있는 경향이 있기 때문에 안전하지 않은 데이터 저장 및 통신 취약성의 문제가 확대되었습니다. 벤더의 릴리스는 다음과 같습니다.

Synopsys Research, 97%의 애플리케이션에서 취약점 발견, 36%는 치명적 또는 고위험 취약점의 영향

2021년 소프트웨어 취약성 스냅샷 보고서는 Synopsys Application Security Testing Services에서 식별한 취약성의 확산을 조사합니다.

싱가포르, @mcgallen #microwireinfo, 17 년 2021 월 XNUMX 일 – Synopsys, Inc. (Nasdaq: SNPS)는 오늘 “2021년 소프트웨어 취약점 스냅샷: Synopsys Application Security Testing Services의 분석," 3,900년 동안 2,600개 대상(즉, 소프트웨어 또는 시스템)에 대해 수행된 2020건의 테스트 데이터를 조사한 보고서입니다. Synopsys 보안 컨설턴트가 고객을 위해 평가 센터에서 수행한 테스트를 통해 수집된 데이터에는 침투 테스트, 동적 애플리케이션 보안 테스트가 포함됩니다. 실제 공격자가 하는 것처럼 실행 중인 애플리케이션을 조사하도록 설계된 모바일 애플리케이션 보안 분석.

테스트 대상의 12%는 웹 애플리케이션 또는 시스템이었고, XNUMX%는 모바일 애플리케이션이었고, 나머지는 소스 코드 또는 네트워크 시스템/애플리케이션이었습니다. 테스트에 포함된 산업에는 소프트웨어 및 인터넷, 금융 서비스, 비즈니스 서비스, 제조, 미디어 및 엔터테인먼트, 의료가 포함됩니다.

Synopsys Software Integrity Group의 보안 컨설팅 부사장인 Girish Janardhanudu는 "클라우드 기반 배포, 최신 기술 프레임워크 및 빠른 제공 속도 때문에 보안 그룹은 소프트웨어가 출시될 때 더 빠르게 대응해야 합니다."라고 말했습니다. “시장에 AppSec 리소스가 충분하지 않은 상황에서 조직은 보안 테스트를 유연하게 확장하기 위해 Synopsys에서 제공하는 것과 같은 애플리케이션 테스트 서비스를 활용하고 있습니다. 팬데믹 기간 동안 평가 수요가 크게 증가했습니다.”

수행된 3,900번의 테스트에서 대상의 97%가 어떤 형태로든 취약성이 있는 것으로 나타났습니다. 대상의 6%에는 고위험 취약점이 있었고 28%에는 치명적인 취약점이 있었습니다. 결과는 보안 테스트에 대한 최상의 접근 방식이 응용 프로그램이나 시스템에 취약성이 없는지 확인하는 데 도움이 되는 광범위한 도구를 활용하는 것임을 보여줍니다. 예를 들어, 전체 테스트 대상의 XNUMX%가 웹 애플리케이션에 영향을 미치는 가장 널리 퍼져 있고 파괴적인 고/중요 위험 취약점 중 하나인 XSS(교차 사이트 스크립팅) 공격에 노출되었습니다. 많은 XSS 취약점은 애플리케이션이 실행 중일 때만 발생합니다.

기타 보고서 하이라이트

  • 2021년 OWASP 상위 10개 취약점은 대상의 76%에서 발견되었습니다. 애플리케이션 및 서버 구성 오류는 테스트에서 발견된 전체 취약성의 21%였으며 OWASP A05:2021 — 보안 구성 오류 범주로 표시됩니다. 그리고 발견된 전체 취약점의 19%는 OWASP A01:2021 — Broken Access Control 카테고리와 관련이 있습니다.
  • 안전하지 않은 데이터 저장 및 통신 취약점은 모바일 애플리케이션을 괴롭히고 있습니다.모바일 테스트에서 발견된 취약점의 XNUMX%는 안전하지 않은 데이터 저장과 관련이 있습니다. 이러한 취약점으로 인해 공격자는 물리적으로(즉, 도난당한 장치에 액세스) 또는 맬웨어를 통해 모바일 장치에 액세스할 수 있습니다. 모바일 테스트의 XNUMX%는 안전하지 않은 통신과 관련된 취약점을 발견했습니다.
  • 위험이 낮은 취약점도 공격을 용이하게 하기 위해 악용될 수 있습니다. 테스트에서 발견된 취약점의 49%는 최소, 낮음 또는 중간 위험으로 간주됩니다. 즉, 발견된 문제는 공격자가 시스템이나 민감한 데이터에 액세스하기 위해 직접 악용할 수 없습니다. 그럼에도 불구하고 이러한 취약성을 드러내는 것은 공허한 작업이 아닙니다. 위험이 낮은 취약성도 공격을 용이하게 하기 위해 악용될 수 있기 때문입니다. 예를 들어 테스트의 XNUMX%에서 발견되는 자세한 서버 배너는 서버 이름, 유형 및 버전 번호와 같은 정보를 제공하여 공격자가 특정 기술 스택에 대한 표적 공격을 수행할 수 있도록 합니다.
  • 소프트웨어 BOM이 시급합니다. 주목할만한 것은 사용 중인 취약한 타사 라이브러리의 수로, Synopsys Application Testing Services에서 수행한 침투 테스트의 18%에서 발견되었습니다. 이는 2021 OWASP 상위 10개 카테고리 A06:2021 - 취약하고 오래된 구성 요소 사용에 해당합니다. 대부분의 조직은 일반적으로 맞춤형 코드, 상용 기성품 코드 및 오픈 소스 구성 요소를 혼합하여 내부적으로 판매하거나 사용하는 소프트웨어를 만듭니다. 종종 이러한 조직에는 소프트웨어가 사용하는 구성 요소와 해당 구성 요소의 라이선스, 버전 및 패치 상태를 자세히 설명하는 비공식 인벤토리가 있거나 전혀 없습니다. 많은 회사에서 수백에서 수천 개의 서로 다른 타사 및 오픈 소스 구성 요소를 갖고 있을 가능성이 있는 수백 개의 응용 프로그램 또는 소프트웨어 시스템을 사용하고 있으므로 이러한 구성 요소를 효과적으로 추적하려면 정확한 최신 소프트웨어 BOM이 시급합니다. .

자세히 알아보려면 "2021년 소프트웨어 취약점 스냅샷: Synopsys Application Security Testing Services의 분석,"를 읽거나 블로그 게시물.

Synopsys 소프트웨어 무결성 그룹 정보

Synopsys Software Integrity Group은 개발 팀이 안전한 고품질 소프트웨어를 구축하여 위험을 최소화하는 동시에 속도와 생산성을 극대화하도록 지원합니다. 애플리케이션 보안 분야에서 인정받는 리더 인 Synopsys는 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작에서 취약성과 결함을 신속하게 찾고 수정할 수 있도록합니다. 업계 최고의 도구, 서비스 및 전문 지식이 결합 된 Synopsys만이 조직이 DevSecOps 및 소프트웨어 개발 수명주기 전체에서 보안 및 품질을 최적화 할 수 있도록 지원합니다. 자세한 내용은 www.synopsys.com/software.

Synopsys 정보

Synopsys, Inc. (Nasdaq : SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 애플리케이션을 개발하는 혁신적인 기업을위한 Silicon to Software ™ 파트너입니다. S & P 500 기업인 Synopsys는 전자 설계 자동화 (EDA) 및 반도체 IP 분야의 글로벌 리더로서 오랜 역사를 가지고 있으며 업계에서 가장 광범위한 애플리케이션 보안 테스트 도구 및 서비스 포트폴리오를 제공합니다. 고급 반도체를 만드는 SoC (시스템 온 칩) 설계 자든,보다 안전한 고품질 코드를 작성하는 소프트웨어 개발자 든 Synopsys는 혁신적인 제품을 제공하는 데 필요한 솔루션을 갖추고 있습니다. 자세한 내용은 www.synopsys.com.

# # #