发表于

编者按:随着外部威胁和软件质量问题导致的网络安全漏洞不断增加,迫切需要认真对待软件物料清单 (SBOM)。 随着 WFH(在家工作)现象仍然迫使许多人远程工作,不安全的数据存储和通信漏洞的挑战已经升级,因为办公室往往有更多的外围防御和控制。 供应商的版本如下。

Synopsys 研究发现 97% 的应用程序存在漏洞,36% 的应用程序受到严重或高风险漏洞的影响

2021 年软件漏洞快照报告检查了 Synopsys 应用程序安全测试服务发现的漏洞的普遍性

新加坡,@mcgallen#microwire资讯,17年2021月XNUMX日– Synopsys,Inc. (纳斯达克股票代码:SNPS)今天发布了“2021 年软件漏洞快照:Synopsys 应用程序安全测试服务的分析,”一份报告检查了 3,900 年对 2,600 个目标(即软件或系统)进行的 2020 次测试的数据。这些数据由 Synopsys 安全顾问在我们的评估中心为我们的客户进行的测试汇编而成,包括渗透测试、动态应用程序安全测试和移动应用程序安全分析,旨在像真实世界的攻击者一样探测正在运行的应用程序。

12% 的测试目标是 Web 应用程序或系统,XNUMX% 是移动应用程序,其余是源代码或网络系统/应用程序。 参与测试的行业包括软件和互联网、金融服务、商业服务、制造、媒体和娱乐以及医疗保健。

Synopsys 软件完整性集团安全咨询副总裁 Girish Janardhanudu 表示:“基于云的部署、现代技术框架和快速的交付速度迫使安全团队在软件发布时做出更快的反应。 “由于市场上的 AppSec 资源不足,组织正在利用 Synopsys 提供的应用程序测试服务来灵活扩展其安全测试。 在整个大流行期间,我们看到评估需求大幅增加。”

在进行的 3,900 次测试中,97% 的目标被发现存在某种形式的漏洞。 6% 的目标具有高风险漏洞,28% 具有严重风险漏洞。 结果表明,安全测试的最佳方法是利用广泛的可用工具来帮助确保应用程序或系统没有漏洞。 例如,XNUMX% 的测试目标都受到跨站点脚本 (XSS) 攻击的影响,这是影响 Web 应用程序的最普遍和最具破坏性的高/关键风险漏洞之一。 许多 XSS 漏洞仅在应用程序运行时发生。

其他报告亮点

  • 2021 OWASP Top 10 漏洞在 76% 的目标中被发现。 应用程序和服务器错误配置占测试中发现的整体漏洞的 21%,由 OWASP A05:2021 — 安全错误配置类别表示。 发现的漏洞总数中有 19% 与 OWASP A01:2021 — 损坏的访问控制类别有关。
  • 不安全的数据存储和通信漏洞困扰着移动应用程序。在移动测试中发现的漏洞中有 XNUMX% 与不安全的数据存储有关。 这些漏洞可能允许攻击者以物理方式(即访问被盗设备)或通过恶意软件访问移动设备。 XNUMX% 的移动测试发现了与不安全通信相关的漏洞。
  • 甚至可以利用风险较低的漏洞来促进攻击。 在测试中发现的漏洞中有 49% 被认为是最小、低或中等风险。 也就是说,发现的问题不能被攻击者直接利用来访问系统或敏感数据。 尽管如此,发现这些漏洞并不是空洞的,因为即使是风险较低的漏洞也可以被利用来促进攻击。 例如,在 XNUMX% 的测试中发现的详细服务器横幅提供了服务器名称、类型和版本号等信息,这可能允许攻击者对特定技术堆栈执行有针对性的攻击。
  • 迫切需要软件物料清单。 值得注意的是正在使用的易受攻击的第三方库的数量,在 Synopsys 应用程序测试服务进行的渗透测试中发现了 18%。 这对应于 2021 年 OWASP 前 10 名类别 A06:2021 — 易受攻击和过时组件的使用。 大多数组织通常混合使用定制代码、商业现成代码和开源组件来创建他们在内部销售或使用的软件。 通常,这些组织有非正式的(或没有)清单,详细说明他们的软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态。 由于许多公司有数百个应用程序或软件系统在使用,每个公司本身可能有成百上千个不同的第三方和开源组件,因此迫切需要准确、最新的软件物料清单来有效跟踪这些组件.

要了解更多信息,请下载“2021 年软件漏洞快照:Synopsys 应用程序安全测试服务的分析,”或阅读 博客文章.

关于Synopsys软件完整性小组

Synopsys软件完整性小组可帮助开发团队构建安全,高质量的软件,在最大程度地提高速度和生产力的同时最大程度地降低风险。 Synopsys是应用程序安全性领域公认的领导者,它提供静态分析,软件组成分析和动态分析解决方案,使团队可以快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。 结合行业领先的工具,服务和专业知识,只有Synopsys才能帮助组织在DevSecOps和整个软件开发生命周期中优化安全性和质量。 了解更多 www.synopsys.com/software.

关于Synopsys

Synopsys公司(纳斯达克股票代码:SNPS)是Silicon to Software™的合作伙伴,为创新公司开发我们每天依赖的电子产品和软件应用程序。 作为标准普尔500强公司,Synopsys在电子设计自动化(EDA)和半导体IP领域处于全球领先地位,拥有悠久的历史,并提供业界最广泛的应用程序安全测试工具和服务组合。 无论您是创建高级半导体的片上系统(SoC)设计人员,还是编写更安全,高质量代码的软件开发人员,Synopsys都能提供交付创新产品所需的解决方案。 了解更多 www.synopsys.com.

###