Dipos pada

Ringkas editor: Dengan peningkatan pelanggaran keselamatan siber akibat ancaman luar serta isu kualiti perisian, terdapat keperluan mendesak untuk serius dengan Bil Bahan Perisian (SBOM). Dan dengan fenomena WFH (bekerja dari rumah) yang masih memaksa ramai orang untuk bekerja dari jauh, cabaran penyimpanan data yang tidak selamat dan kelemahan komunikasi telah meningkat, memandangkan pejabat cenderung mempunyai lebih banyak pertahanan dan kawalan perimeter. Keluaran vendor ada di bawah.

Penyelidikan Synopsys Menemui Kerentanan dalam 97% Aplikasi, 36% Kesan oleh Kerentanan Kritikal atau Berisiko Tinggi

Laporan Snapshot Kerentanan Perisian 2021 mengkaji kelaziman kelemahan yang dikenal pasti oleh Perkhidmatan Ujian Keselamatan Aplikasi Synopsys

SINGAPURA, @mcgallen #microwiremaklumat, 17 November 2021 - Sinopsis, Inc.. (Nasdaq: SNPS) hari ini menerbitkan “Gambar Kerentanan Perisian 2021: Analisis oleh Perkhidmatan Pengujian Keselamatan Aplikasi Synopsys,” laporan yang memeriksa data daripada 3,900 ujian yang dijalankan pada 2,600 sasaran (iaitu, perisian atau sistem) sepanjang 2020. Data tersebut, disusun oleh ujian yang dilakukan oleh perunding keselamatan Synopsys di pusat penilaian kami untuk pelanggan kami, termasuk ujian penembusan, ujian keselamatan aplikasi dinamik , dan analisis keselamatan aplikasi mudah alih, direka untuk menyiasat aplikasi yang sedang berjalan seperti yang dilakukan oleh penyerang dunia sebenar.

Lapan puluh tiga peratus daripada sasaran yang diuji ialah aplikasi atau sistem web, 12% adalah aplikasi mudah alih, dan selebihnya adalah sama ada kod sumber atau sistem/aplikasi rangkaian. Industri yang diwakili dalam ujian termasuk perisian dan internet, perkhidmatan kewangan, perkhidmatan perniagaan, pembuatan, media dan hiburan serta penjagaan kesihatan.

"Penyerahan berasaskan awan, rangka kerja teknologi moden dan kadar penghantaran yang pantas memaksa kumpulan keselamatan bertindak balas dengan lebih cepat apabila perisian dikeluarkan," kata Girish Janardhanudu, naib presiden, perundingan keselamatan di Synopsys Software Integrity Group. “Dengan sumber AppSec yang tidak mencukupi dalam pasaran, organisasi memanfaatkan perkhidmatan ujian aplikasi seperti yang disediakan oleh Synopsys untuk mengukur secara fleksibel ujian keselamatan mereka. Kami telah melihat peningkatan besar dalam permintaan penilaian sepanjang wabak ini.”

Dalam 3,900 ujian yang dijalankan, 97% daripada sasaran didapati mempunyai beberapa bentuk kelemahan. Tiga puluh peratus daripada sasaran mempunyai kelemahan berisiko tinggi, dan 6% mempunyai kelemahan berisiko kritikal. Keputusan menunjukkan bahawa pendekatan terbaik untuk ujian keselamatan adalah menggunakan spektrum luas alatan yang tersedia untuk membantu memastikan aplikasi atau sistem bebas daripada kelemahan. Sebagai contoh, 28% daripada jumlah sasaran ujian mempunyai sedikit pendedahan kepada serangan skrip merentas tapak (XSS), salah satu kerentanan berisiko tinggi / kritikal yang paling lazim dan merosakkan yang memberi kesan kepada aplikasi web. Banyak kelemahan XSS berlaku hanya apabila aplikasi sedang berjalan.

Sorotan laporan lain

  • 2021 OWASP 10 kelemahan teratas ditemui dalam 76% daripada sasaran. Salah konfigurasi aplikasi dan pelayan ialah 21% daripada keseluruhan kelemahan yang ditemui dalam ujian, diwakili oleh kategori OWASP A05:2021 — Salah konfigurasi Keselamatan. Dan 19% daripada jumlah kelemahan yang ditemui adalah berkaitan dengan kategori OWASP A01:2021 — Kawalan Akses Pecah.
  • Penyimpanan data yang tidak selamat dan kelemahan komunikasi melanda aplikasi mudah alih.Lapan puluh peratus daripada kelemahan yang ditemui dalam ujian mudah alih adalah berkaitan dengan penyimpanan data yang tidak selamat. Kerentanan ini boleh membenarkan penyerang mendapat akses kepada peranti mudah alih sama ada secara fizikal (iaitu, mengakses peranti yang dicuri) atau melalui perisian hasad. Lima puluh tiga peratus daripada ujian mudah alih mendedahkan kelemahan yang berkaitan dengan komunikasi yang tidak selamat.
  • Malah kelemahan berisiko rendah boleh dieksploitasi untuk memudahkan serangan. Enam puluh empat peratus daripada kelemahan yang ditemui dalam ujian dianggap berisiko minimum, rendah atau sederhana. Iaitu, isu yang ditemui tidak boleh dieksploitasi secara langsung oleh penyerang untuk mendapatkan akses kepada sistem atau data sensitif. Namun begitu, mengatasi kelemahan ini bukanlah satu latihan kosong, malah kelemahan berisiko rendah boleh dieksploitasi untuk memudahkan serangan. Contohnya, sepanduk pelayan verbose — ditemui dalam 49% daripada ujian — menyediakan maklumat seperti nama pelayan, jenis dan nombor versi, yang boleh membenarkan penyerang melakukan serangan disasarkan pada susunan teknologi tertentu.
  • Keperluan segera untuk perisian Bil Bahan. Nota ialah bilangan perpustakaan pihak ketiga yang terdedah yang digunakan, ditemui dalam 18% daripada ujian penembusan yang dijalankan oleh Perkhidmatan Pengujian Aplikasi Synopsys. Ini sepadan dengan kategori 2021 Teratas OWASP 10 A06:2021 — Penggunaan Komponen Rentan dan Lapuk. Kebanyakan organisasi biasanya menggunakan gabungan kod tersuai, kod komersil di luar rak dan komponen sumber terbuka untuk mencipta perisian yang mereka jual atau gunakan secara dalaman. Selalunya organisasi tersebut mempunyai inventori tidak formal — atau tiada — yang memperincikan dengan tepat komponen yang digunakan oleh perisian mereka, serta lesen, versi dan status tampung komponen tersebut. Dengan banyak syarikat yang mempunyai ratusan aplikasi atau sistem perisian sedang digunakan, masing-masing mungkin mempunyai ratusan hingga ribuan komponen pihak ketiga dan sumber terbuka yang berbeza, Bil Bahan perisian yang tepat dan terkini diperlukan segera untuk mengesan komponen tersebut dengan berkesan .

Untuk mengetahui lebih lanjut, muat turun "Gambar Kerentanan Perisian 2021: Analisis oleh Perkhidmatan Pengujian Keselamatan Aplikasi Synopsys,” atau baca blog post.

Mengenai Kumpulan Integriti Perisian Sinopsis

Synopsys Software Integrity Group membantu pasukan pembangunan membina perisian berkualiti tinggi yang selamat, meminimumkan risiko sambil memaksimumkan kelajuan dan produktiviti. Sinopsis, peneraju keselamatan aplikasi yang diakui, menyediakan analisis statik, analisis komposisi perisian, dan penyelesaian analisis dinamik yang membolehkan pasukan mencari dan memperbaiki kelemahan dan kecacatan dalam kod proprietari, komponen sumber terbuka, dan tingkah laku aplikasi dengan cepat. Dengan gabungan alat, perkhidmatan, dan kepakaran terkemuka di industri, hanya Synopsys yang membantu organisasi mengoptimumkan keselamatan dan kualiti dalam DevSecOps dan sepanjang kitaran hidup pengembangan perisian. Ketahui lebih lanjut di www.synopsys.com/software.

Mengenai Sinopsis

Synopsys, Inc. (Nasdaq: SNPS) adalah rakan kongsi Silicon to Software ™ untuk syarikat inovatif yang mengembangkan produk elektronik dan aplikasi perisian yang kita andalkan setiap hari. Sebagai syarikat S&P 500, Synopsys mempunyai sejarah panjang sebagai pemimpin global dalam automasi reka bentuk elektronik (EDA) dan IP semikonduktor dan menawarkan portfolio alat dan perkhidmatan pengujian keselamatan aplikasi industri yang paling luas. Sama ada anda pereka sistem-on-chip (SoC) yang mencipta semikonduktor canggih, atau pembangun perisian yang menulis kod berkualiti tinggi yang lebih selamat, Synopsys mempunyai penyelesaian yang diperlukan untuk menyampaikan produk inovatif. Ketahui lebih lanjut di www.synopsys.com.

# # #