Đăng trên

Tóm tắt của người biên tập: Với tình trạng vi phạm an ninh mạng ngày càng gia tăng do các mối đe dọa từ bên ngoài cũng như các vấn đề về chất lượng phần mềm, đòi hỏi cấp bách phải nghiêm túc với một Dự luật Vật liệu Phần mềm (SBOM). Và với hiện tượng WFH (tủ lạnh làm việc tại nhà) vẫn buộc nhiều người phải làm việc từ xa, những thách thức về lưu trữ dữ liệu không an toàn và lỗ hổng liên lạc đã leo thang, vì các văn phòng có xu hướng có nhiều biện pháp phòng thủ và kiểm soát chu vi hơn. Dưới đây là bản phát hành của nhà cung cấp.

Tóm tắt nội dung nghiên cứu Phát hiện lỗ hổng trong 97% ứng dụng, 36% bị ảnh hưởng bởi lỗ hổng nghiêm trọng hoặc rủi ro cao

Báo cáo chụp nhanh lỗ hổng bảo mật phần mềm năm 2021 kiểm tra mức độ phổ biến của các lỗ hổng được xác định bởi Dịch vụ kiểm tra bảo mật ứng dụng của Synopsys

SINGAPORE, @mcgallen #microwirethông tin, ngày 17 tháng 2021 năm XNUMX - Tóm tắt nội dung. (Nasdaq: SNPS) hôm nay đã xuất bản “Bản tóm tắt về lỗ hổng bảo mật phần mềm năm 2021: Phân tích của Dịch vụ kiểm tra bảo mật ứng dụng Synopsys", Một báo cáo kiểm tra dữ liệu từ 3,900 thử nghiệm được thực hiện trên 2,600 mục tiêu (tức là phần mềm hoặc hệ thống) trong năm 2020. Dữ liệu, được tổng hợp bởi các thử nghiệm do các chuyên gia tư vấn bảo mật của Synopsys thực hiện trong các trung tâm đánh giá cho khách hàng của chúng tôi, bao gồm thử nghiệm thâm nhập, thử nghiệm bảo mật ứng dụng động và các phân tích bảo mật ứng dụng di động, được thiết kế để thăm dò các ứng dụng đang chạy như một kẻ tấn công trong thế giới thực.

Tám mươi ba phần trăm mục tiêu được kiểm tra là ứng dụng web hoặc hệ thống, 12% là ứng dụng di động và phần còn lại là mã nguồn hoặc hệ thống / ứng dụng mạng. Các ngành đại diện trong các bài kiểm tra bao gồm phần mềm và internet, dịch vụ tài chính, dịch vụ kinh doanh, sản xuất, truyền thông và giải trí, và chăm sóc sức khỏe.

Girish Janardhanudu, phó chủ tịch, tư vấn bảo mật tại Synopsys Software Integrity Group, cho biết: “Việc triển khai dựa trên đám mây, khuôn khổ công nghệ hiện đại và tốc độ phân phối nhanh chóng đang buộc các nhóm bảo mật phản ứng nhanh hơn khi phần mềm được phát hành. “Với nguồn lực AppSec không đủ trên thị trường, các tổ chức đang tận dụng các dịch vụ kiểm thử ứng dụng như những Synopsys đó cung cấp để mở rộng quy mô kiểm tra bảo mật một cách linh hoạt. Chúng tôi đã chứng kiến ​​sự gia tăng mạnh mẽ về nhu cầu đánh giá trong suốt đại dịch. "

Trong 3,900 thử nghiệm được thực hiện, 97% mục tiêu được phát hiện có một số dạng lỗ hổng bảo mật. Ba mươi phần trăm mục tiêu có lỗ hổng rủi ro cao và 6% có lỗ hổng nguy cơ nghiêm trọng. Kết quả chứng minh rằng cách tiếp cận tốt nhất để kiểm tra bảo mật là sử dụng nhiều công cụ có sẵn để giúp đảm bảo một ứng dụng hoặc hệ thống không có lỗ hổng bảo mật. Ví dụ: 28% trong tổng số các mục tiêu thử nghiệm có một số tiếp xúc với cuộc tấn công tập lệnh trên nhiều trang web (XSS), một trong những lỗ hổng có nguy cơ cao / nguy cơ nghiêm trọng phổ biến và phá hoại nhất ảnh hưởng đến các ứng dụng web. Nhiều lỗ hổng XSS chỉ xảy ra khi ứng dụng đang chạy.

Báo cáo nổi bật khác

  • 2021 OWASP 10 lỗ hổng hàng đầu được phát hiện trong 76% mục tiêu. Cấu hình sai ứng dụng và máy chủ là 21% trong tổng số lỗ hổng bảo mật được tìm thấy trong các thử nghiệm, được đại diện bởi OWASP A05: 2021 - danh mục Cấu hình sai bảo mật. Và 19% trong tổng số lỗ hổng được tìm thấy có liên quan đến danh mục OWASP A01: 2021 - Kiểm soát truy cập bị hỏng.
  • Các lỗ hổng liên lạc và lưu trữ dữ liệu không an toàn tràn ngập các ứng dụng di động.Tám mươi phần trăm lỗ hổng được phát hiện trong các thử nghiệm di động có liên quan đến việc lưu trữ dữ liệu không an toàn. Các lỗ hổng này có thể cho phép kẻ tấn công có quyền truy cập vào thiết bị di động về mặt vật lý (tức là truy cập vào thiết bị bị đánh cắp) hoặc thông qua phần mềm độc hại. Năm mươi ba phần trăm các thử nghiệm di động đã phát hiện ra các lỗ hổng liên quan đến thông tin liên lạc không an toàn.
  • Ngay cả những lỗ hổng có rủi ro thấp hơn cũng có thể bị khai thác để tạo điều kiện cho các cuộc tấn công. Sáu mươi bốn phần trăm lỗ hổng được phát hiện trong các thử nghiệm được coi là rủi ro tối thiểu, thấp hoặc trung bình. Có nghĩa là, những vấn đề được tìm thấy không bị kẻ tấn công trực tiếp khai thác để giành quyền truy cập vào hệ thống hoặc dữ liệu nhạy cảm. Tuy nhiên, việc vạch ra những lỗ hổng này không phải là một bài tập suông, vì ngay cả những lỗ hổng có mức độ rủi ro thấp hơn cũng có thể được khai thác để tạo điều kiện cho các cuộc tấn công. Ví dụ: các biểu ngữ dài của máy chủ - được tìm thấy trong 49% các bài kiểm tra - cung cấp thông tin như tên máy chủ, loại và số phiên bản, có thể cho phép kẻ tấn công thực hiện các cuộc tấn công có chủ đích vào các ngăn xếp công nghệ cụ thể.
  • Một nhu cầu khẩn cấp về một Hóa đơn nguyên vật liệu phần mềm. Đáng chú ý là số lượng thư viện bên thứ ba dễ bị tấn công đang được sử dụng, được tìm thấy trong 18% các thử nghiệm thâm nhập được thực hiện bởi Dịch vụ Kiểm tra Ứng dụng Synopsys. Điều này tương ứng với danh mục Top 2021 OWASP A10: 06 - Sử dụng các thành phần dễ bị tổn thương và lỗi thời. Hầu hết các tổ chức thường sử dụng kết hợp mã được xây dựng tùy chỉnh, mã thương mại bán sẵn và các thành phần nguồn mở để tạo phần mềm mà họ bán hoặc sử dụng trong nội bộ. Thường thì các tổ chức đó có các bản kiểm kê không chính thức - hoặc không - nêu chi tiết chính xác thành phần mà phần mềm của họ đang sử dụng, cũng như giấy phép, phiên bản và trạng thái bản vá của các thành phần đó. Với việc nhiều công ty có hàng trăm ứng dụng hoặc hệ thống phần mềm đang được sử dụng, mỗi công ty có thể có hàng trăm đến hàng nghìn thành phần nguồn mở và bên thứ ba khác nhau, một phần mềm chính xác, cập nhật Bill of Materials là cần thiết để theo dõi hiệu quả các thành phần đó .

Để tìm hiểu thêm, hãy tải xuống “Bản tóm tắt về lỗ hổng bảo mật phần mềm năm 2021: Phân tích của Dịch vụ kiểm tra bảo mật ứng dụng Synopsys, ”Hoặc đọc blog đăng bài.

Giới thiệu về Nhóm toàn vẹn phần mềm Synopsys

Synopsys Software Integrity Group giúp các nhóm phát triển xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp phân tích tĩnh, phân tích thành phần phần mềm và giải pháp phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và khiếm khuyết trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys mới giúp các tổ chức tối ưu hóa bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại www.synopsys.com/software.

Giới thiệu về Synopsys

Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là một công ty thuộc S&P 500, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu về tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cung cấp danh mục dịch vụ và công cụ kiểm tra bảo mật ứng dụng rộng nhất trong ngành. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết mã chất lượng cao, an toàn hơn, Synopsys đều có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo. Tìm hiểu thêm tại www.synopsys.com.

# # #