Naka-post sa

Maikling sabi ng editor: Sa tumataas na mga paglabag sa cybersecurity dahil sa mga panlabas na banta pati na rin ang mga isyu sa kalidad ng software, may matinding pangangailangang magseryoso sa isang Software Bill of Materials (SBOM). At dahil sa hindi pangkaraniwang bagay na WFH (work frome home) na pinipilit pa rin ang maraming tao na magtrabaho nang malayuan, ang mga hamon ng hindi secure na pag-imbak ng data at mga kahinaan sa komunikasyon ay lumaki, dahil ang mga opisina ay may posibilidad na magkaroon ng mas maraming perimeter defense at kontrol. Nasa ibaba ang release ng vendor.

Ang Synopsys Research ay Nakahanap ng Mga Kahinaan sa 97% ng mga Aplikasyon, 36% Naapektuhan ng Mga Kritikal o Mataas na Panganib na Kahinaan

2021 Software Vulnerability Snapshot report ay sumusuri sa pagkalat ng mga kahinaan na kinilala ng Synopsys Application Security Testing Services

SINGAPORE, @mcgallen #microwireimpormasyon, Nobyembre 17, 2021 - Mga Synopsys, Inc. (Nasdaq: SNPS) ngayong araw na inilathala “2021 Software Vulnerability Snapshot: Isang Pagsusuri ng Synopsys Application Security Testing Services,” isang ulat na sumusuri sa data mula sa 3,900 pagsubok na isinagawa sa 2,600 target (ibig sabihin, software o mga system) noong 2020. Ang data, na pinagsama-sama ng mga pagsubok na isinagawa ng Synopsys security consultant sa aming mga assessment center para sa aming mga customer, kasama ang penetration testing, dynamic na application security testing , at mga pagsusuri sa seguridad ng mobile application, na idinisenyo upang suriin ang mga tumatakbong application tulad ng gagawin ng isang real-world attacker.

Walumpu't tatlong porsyento ng mga nasubok na target ay mga web application o system, 12% ay mga mobile application, at ang natitira ay alinman sa source code o network system/application. Kasama sa mga industriyang kinakatawan sa mga pagsubok ang software at internet, mga serbisyo sa pananalapi, mga serbisyo sa negosyo, pagmamanupaktura, media at entertainment, at pangangalaga sa kalusugan.

"Ang mga cloud-based na deployment, modernong teknolohiya frameworks, at ang mabilis na bilis ng paghahatid ay pumipilit sa mga grupo ng seguridad na mag-react nang mas mabilis habang inilabas ang software," sabi ni Girish Janardhanudu, vice president, security consulting sa Synopsys Software Integrity Group. "Sa hindi sapat na mga mapagkukunan ng AppSec sa merkado, ang mga organisasyon ay gumagamit ng mga serbisyo sa pagsubok ng application tulad ng mga ibinibigay ng Synopsys upang flexible na sukatin ang kanilang pagsubok sa seguridad. Nakita namin ang isang mabigat na pagtaas sa pangangailangan sa pagtatasa sa buong pandemya.

Sa 3,900 na pagsubok na isinagawa, 97% ng mga target ang natagpuang may ilang uri ng kahinaan. Tatlumpung porsyento ng mga target ang may mataas na panganib na kahinaan, at 6% ay may kritikal na panganib na kahinaan. Ipinapakita ng mga resulta na ang pinakamahusay na diskarte sa pagsubok sa seguridad ay ang paggamit ng malawak na spectrum ng mga tool na magagamit upang makatulong na matiyak na ang isang application o system ay libre sa mga kahinaan. Halimbawa, 28% ng kabuuang mga target ng pagsubok ay nagkaroon ng ilang pagkakalantad sa isang cross-site scripting (XSS) na pag-atake, isa sa mga pinakakaraniwan at mapangwasak na mga kahinaang may mataas na peligro na nakakaapekto sa mga web application. Maraming mga kahinaan sa XSS ang nangyayari lamang kapag tumatakbo ang application.

Iba pang mga highlight ng ulat

  • 2021 OWASP Top 10 vulnerabilities ay natuklasan sa 76% ng mga target. Ang mga maling configuration ng application at server ay 21% ng pangkalahatang mga kahinaan na natagpuan sa mga pagsubok, na kinakatawan ng kategoryang OWASP A05:2021 — Security Misconfiguration. At 19% ng kabuuang mga nakitang kahinaan ay nauugnay sa kategoryang OWASP A01:2021 — Broken Access Control.
  • Ang hindi secure na pag-imbak ng data at mga kahinaan sa komunikasyon ay sumasalot sa mga mobile application.Walumpung porsyento ng mga natuklasang kahinaan sa mga pagsubok sa mobile ay nauugnay sa hindi secure na pag-iimbak ng data. Ang mga kahinaang ito ay maaaring magbigay-daan sa isang umaatake na makakuha ng access sa isang mobile device alinman sa pisikal na paraan (ibig sabihin, pag-access sa isang ninakaw na device) o sa pamamagitan ng malware. Limampu't tatlong porsyento ng mga pagsubok sa mobile ang natuklasan ang mga kahinaan na nauugnay sa mga hindi secure na komunikasyon.
  • Kahit na ang mas mababang panganib na mga kahinaan ay maaaring samantalahin upang mapadali ang mga pag-atake. Animnapu't apat na porsyento ng mga kahinaan na natuklasan sa mga pagsubok ay itinuturing na minimal, mababa, o katamtamang panganib. Ibig sabihin, ang mga isyung nahanap ay hindi direktang pinagsamantalahan ng mga umaatake upang makakuha ng access sa mga system o sensitibong data. Gayunpaman, ang pagharap sa mga kahinaang ito ay hindi isang walang laman na ehersisyo, dahil kahit na ang mga kahinaan na may mababang panganib ay maaaring samantalahin upang mapadali ang mga pag-atake. Halimbawa, ang mga verbose na banner ng server — na matatagpuan sa 49% ng mga pagsubok — ay nagbibigay ng impormasyon gaya ng pangalan ng server, uri, at numero ng bersyon, na maaaring magpapahintulot sa mga umaatake na magsagawa ng mga naka-target na pag-atake sa mga partikular na stack ng teknolohiya.
  • Isang agarang pangangailangan para sa isang software Bill of Materials. Ang napapansin ay ang bilang ng mga vulnerable na third-party na library na ginagamit, na natagpuan sa 18% ng mga pagsubok sa pagtagos na isinagawa ng Synopsys Application Testing Services. Ito ay tumutugma sa kategoryang 2021 OWASP Top 10 A06:2021 — Paggamit ng Mga Mahina at Lumang Bahagi. Karamihan sa mga organisasyon ay karaniwang gumagamit ng pinaghalong custom-built na code, komersyal na off-the-shelf code, at open source na mga bahagi upang gawin ang software na kanilang ibinebenta o ginagamit sa loob. Kadalasan ang mga organisasyong iyon ay may impormal — o wala — na mga imbentaryo na nagdedetalye nang eksakto kung anong mga bahagi ang ginagamit ng kanilang software, pati na rin ang mga lisensya, bersyon, at katayuan ng patch ng mga bahaging iyon. Sa maraming kumpanya na may daan-daang application o software system na ginagamit, ang bawat isa ay malamang na mayroong daan-daan hanggang libu-libong iba't ibang third-party at open source na bahagi, isang tumpak, napapanahon na Bill of Materials ng software ay agarang kailangan upang epektibong masubaybayan ang mga bahaging iyon .

Para matuto pa, i-download ang “2021 Software Vulnerability Snapshot: Isang Pagsusuri ng Synopsys Application Security Testing Services,” o basahin ang blog post.

Tungkol sa Synopsys Software Integrity Group

Tinutulungan ng Synopsys Software Integrity Group ang mga koponan sa pag-unlad na bumuo ng ligtas, de-kalidad na software, pinapaliit ang mga panganib habang pinapalaki ang bilis at pagiging produktibo. Ang Synopsys, isang kinikilalang pinuno sa seguridad ng aplikasyon, ay nagbibigay ng static na pagtatasa, pagtatasa ng komposisyon ng software, at mga solusyon sa pag-aaral ng pag-analisa na nagbibigay-daan sa mga koponan na mabilis na mahanap at ayusin ang mga kahinaan at depekto sa pagmamay-ari na code, mga buksan ng sangkap ng mapagkukunan, at ugali ng aplikasyon. Sa isang kumbinasyon ng mga tool, serbisyo, at kadalubhasaan na nangunguna sa industriya, ang mga Synopsy lamang ang tumutulong sa mga samahan na i-optimize ang seguridad at kalidad sa DevSecOps at sa buong ikot ng buhay sa pag-unlad ng software. Dagdagan ang nalalaman sa www.synopsys.com/software.

Tungkol sa Synopsys

Ang Synopsys, Inc. (Nasdaq: SNPS) ay kasosyo ng Silicon to Software ™ para sa mga makabagong kumpanya na bumubuo ng mga elektronikong produkto at software application na umaasa sa araw-araw. Bilang isang kumpanya ng S&P 500, ang Synopsys ay may mahabang kasaysayan ng pagiging isang pandaigdigang nangunguna sa electronic design automation (EDA) at semiconductor IP at nag-aalok ng pinakamalawak na portfolio ng industriya ng mga tool sa pagsubok ng seguridad ng aplikasyon. Kung ikaw man ay isang taga-disenyo ng system-on-chip (SoC) na lumilikha ng mga advanced na semiconductor, o isang developer ng software na nagsusulat ng mas ligtas, de-kalidad na code, ang Synopsys ay may mga solusyon na kinakailangan upang maihatid ang mga makabagong produkto. Dagdagan ang nalalaman sa www.synopsys.com.

# # #