опубликовано

Краткое содержание редактора: с ростом числа нарушений кибербезопасности из-за внешних угроз, а также из-за проблем с качеством программного обеспечения, существует острая необходимость серьезно отнестись к Спецификации программного обеспечения (SBOM). А поскольку феномен WFH (работа из дома) по-прежнему заставляет многих людей работать удаленно, проблемы, связанные с небезопасным хранением данных и уязвимостями связи, обострились, поскольку офисы, как правило, имеют больше средств защиты и контроля периметра. Релиз производителя представлен ниже.

Synopsys Исследования выявили уязвимости в 97 % приложений, 36 % из которых подвержены критическим уязвимостям или уязвимостям высокого риска

В отчете Software Vulnerability Snapshot за 2021 г. рассматривается распространенность уязвимостей, выявленных Synopsys Услуги по тестированию безопасности приложений

СИНГАПУР, @mcgallen #microwireinfo, 17 ноября 2021 г. - SynopsysInc. (Nasdaq: SNPS) сегодня опубликовал «Моментальный снимок уязвимости программного обеспечения за 2021 год: анализ Synopsys Услуги по тестированию безопасности приложений», отчет, в котором рассматриваются данные 3,900 тестов, проведенных на 2,600 объектах (т. е. программных продуктах или системах) в течение 2020 года. Synopsys консультанты по безопасности в наших центрах оценки для наших клиентов, включали тестирование на проникновение, динамическое тестирование безопасности приложений и анализ безопасности мобильных приложений, предназначенные для проверки работающих приложений, как это сделал бы реальный злоумышленник.

Восемьдесят три процента тестируемых целей составляли веб-приложения или системы, 12% - мобильные приложения, а остальные - либо исходный код, либо сетевые системы / приложения. Отрасли, представленные в тестах, включали программное обеспечение и Интернет, финансовые услуги, бизнес-услуги, производство, средства массовой информации и развлечения, а также здравоохранение.

«Облачные развертывания, современные технологические платформы и быстрые темпы доставки вынуждают группы безопасности быстрее реагировать на выпуск программного обеспечения», — сказал Гириш Джанардануду, вице-президент по консультированию по вопросам безопасности в Synopsys Группа целостности программного обеспечения. «Из-за нехватки ресурсов AppSec на рынке организации используют службы тестирования приложений, такие как Synopsys предоставляет для того, чтобы гибко масштабировать их тестирование безопасности. Мы наблюдаем резкий рост спроса на оценку на протяжении всей пандемии».

В ходе проведенных 3,900 тестов было обнаружено, что 97% целей имеют ту или иную уязвимость. У 6% целей были уязвимости с высоким риском, а у 28% - уязвимости с критическим риском. Результаты показывают, что лучший подход к тестированию безопасности - это использовать широкий спектр доступных инструментов, чтобы гарантировать, что приложение или система не содержат уязвимостей. Например, XNUMX% от общего числа целей тестирования были подвержены атаке межсайтового скриптинга (XSS), одной из наиболее распространенных и разрушительных уязвимостей с высоким / критическим риском, влияющих на веб-приложения. Многие уязвимости XSS возникают только во время работы приложения.

Другие основные моменты отчета

  • 2021 OWASP Top 10 уязвимостей обнаружено в 76% целей. Неправильная конфигурация приложений и серверов составила 21% от общего числа уязвимостей, обнаруженных в ходе тестов, представленных в категории OWASP A05: 2021 - Security Misconfiguration category. И 19% от общего числа обнаруженных уязвимостей относятся к категории OWASP A01: 2021 - Broken Access Control.
  • Мобильные приложения страдают от небезопасных хранилищ данных и уязвимостей связи.Восемьдесят процентов уязвимостей, обнаруженных в мобильных тестах, были связаны с небезопасным хранением данных. Эти уязвимости могут позволить злоумышленнику получить доступ к мобильному устройству физически (т. Е. Доступ к украденному устройству) или через вредоносное ПО. Пятьдесят три процента мобильных тестов выявили уязвимости, связанные с небезопасным обменом данными.
  • Для облегчения атак можно использовать уязвимости даже с меньшим риском. Шестьдесят четыре процента уязвимостей, обнаруженных в ходе тестов, считаются минимальным, низким или средним риском. То есть обнаруженные проблемы не могут быть использованы злоумышленниками напрямую для получения доступа к системам или конфиденциальным данным. Тем не менее, выявление этих уязвимостей - не пустое занятие, поскольку для облегчения атак можно использовать уязвимости даже с меньшим риском. Например, подробные баннеры сервера, обнаруженные в 49% тестов, предоставляют такую ​​информацию, как имя, тип и номер версии сервера, что позволяет злоумышленникам проводить целевые атаки на определенные технологические стеки.
  • Срочно нужна ведомость материалов для программного обеспечения. Следует отметить количество используемых уязвимых сторонних библиотек, обнаруженных в 18% тестов на проникновение, проведенных Synopsys Услуги по тестированию приложений. Это соответствует категории OWASP Top 2021 10 A06:2021 — Использование уязвимых и устаревших компонентов. Большинство организаций обычно используют сочетание специально разработанного кода, коммерческого готового кода и компонентов с открытым исходным кодом для создания программного обеспечения, которое они продают или используют внутри компании. Часто у этих организаций есть неофициальные реестры — или нет — с подробным описанием того, какие именно компоненты используются в их программном обеспечении, а также с лицензиями, версиями и статусом исправлений для этих компонентов. Поскольку многие компании используют сотни приложений или программных систем, каждая из которых, вероятно, имеет от сотен до тысяч различных сторонних компонентов и компонентов с открытым исходным кодом, для эффективного отслеживания этих компонентов срочно требуется точная, актуальная спецификация программного обеспечения. .

Чтобы узнать больше, загрузите "Моментальный снимок уязвимости программного обеспечения за 2021 год: анализ Synopsys Услуги по тестированию безопасности приложений, »Или прочтите блоге.

О Synopsys Группа обеспечения целостности программного обеспечения

Synopsys Software Integrity Group помогает командам разработчиков создавать безопасное и высококачественное программное обеспечение, сводя к минимуму риски и максимально повышая скорость и производительность. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и устранять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию ведущих в отрасли инструментов, услуг и опыта, только Synopsys помогает организациям оптимизировать безопасность и качество в DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/программное обеспечение.

О нас Synopsys

Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Как компания S&P 500, Synopsys уже давно является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой интеллектуальной собственности и предлагает самый широкий в отрасли портфель инструментов и услуг для тестирования безопасности приложений. Являетесь ли вы разработчиком систем на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, пишущим более безопасный и высококачественный код, Synopsys имеет решения, необходимые для создания инновационных продуктов. Узнайте больше на www.synopsys.com.

###