發佈於

編者按:隨著外部威脅和軟件質量問題導致的網絡安全漏洞不斷增加,迫切需要認真對待軟件物料清單 (SBOM)。 隨著 WFH(在家工作)現象仍然迫使許多人遠程工作,不安全的數據存儲和通信漏洞的挑戰已經升級,因為辦公室往往有更多的外圍防禦和控制。 供應商的版本如下。

Synopsys 研究發現 97% 的應用程序存在漏洞,36% 的應用程序受到嚴重或高風險漏洞的影響

2021 年軟件漏洞快照報告檢查了 Synopsys 應用程序安全測試服務發現的漏洞的普遍性

新加坡,@mcgallen#microwire資訊,17年2021月XNUMX日– 新思科技有限公司. (納斯達克股票代碼:SNPS)今天發布了“2021 年軟件漏洞快照:Synopsys 應用程序安全測試服務的分析,”一份報告檢查了 3,900 年對 2,600 個目標(即軟件或系統)進行的 2020 次測試的數據。這些數據由 Synopsys 安全顧問在我們的評估中心為我們的客戶進行的測試彙編而成,包括滲透測試、動態應用程序安全測試和移動應用程序安全分析,旨在像真實世界的攻擊者一樣探測正在運行的應用程序。

12% 的測試目標是 Web 應用程序或系統,XNUMX% 是移動應用程序,其餘是源代碼或網絡系統/應用程序。 參與測試的行業包括軟件和互聯網、金融服務、商業服務、製造、媒體和娛樂以及醫療保健。

Synopsys 軟件完整性集團安全諮詢副總裁 Girish Janardhanudu 表示:“基於雲的部署、現代技術框架和快速的交付速度迫使安全團隊在軟件發佈時做出更快的反應。 “由於市場上的 AppSec 資源不足,組織正在利用 Synopsys 提供的應用程序測試服務來靈活擴展其安全測試。 在整個大流行期間,我們看到評估需求大幅增加。”

在進行的 3,900 次測試中,97% 的目標被發現存在某種形式的漏洞。 6% 的目標具有高風險漏洞,28% 具有嚴重風險漏洞。 結果表明,安全測試的最佳方法是利用廣泛的可用工具來幫助確保應用程序或系統沒有漏洞。 例如,XNUMX% 的測試目標都受到跨站點腳本 (XSS) 攻擊的影響,這是影響 Web 應用程序的最普遍和最具破壞性的高/關鍵風險漏洞之一。 許多 XSS 漏洞僅在應用程序運行時發生。

其他報告亮點

  • 2021 OWASP Top 10 漏洞在 76% 的目標中被發現。 應用程序和服務器錯誤配置佔測試中發現的整體漏洞的 21%,由 OWASP A05:2021 — 安全錯誤配置類別表示。 發現的漏洞總數中有 19% 與 OWASP A01:2021 — 損壞的訪問控制類別有關。
  • 不安全的數據存儲和通信漏洞困擾著移動應用程序。在移動測試中發現的漏洞中有 XNUMX% 與不安全的數據存儲有關。 這些漏洞可能允許攻擊者以物理方式(即訪問被盜設備)或通過惡意軟件訪問移動設備。 XNUMX% 的移動測試發現了與不安全通信相關的漏洞。
  • 甚至可以利用風險較低的漏洞來促進攻擊。 在測試中發現的漏洞中有 49% 被認為是最小、低或中等風險。 也就是說,發現的問題不能被攻擊者直接利用來訪問系統或敏感數據。 儘管如此,發現這些漏洞並不是空洞的,因為即使是風險較低的漏洞也可以被利用來促進攻擊。 例如,在 XNUMX% 的測試中發現的詳細服務器橫幅提供了服務器名稱、類型和版本號等信息,這些信息可能允許攻擊者對特定技術堆棧執行有針對性的攻擊。
  • 迫切需要軟件物料清單。 值得注意的是正在使用的易受攻擊的第三方庫的數量,在 Synopsys 應用程序測試服務進行的滲透測試中發現了 18%。 這對應於 2021 年 OWASP 前 10 名類別 A06:2021 — 易受攻擊和過時組件的使用。 大多數組織通常混合使用定制代碼、商業現成代碼和開源組件來創建他們在內部銷售或使用的軟件。 通常,這些組織有非正式的(或沒有)清單,詳細說明他們的軟件正在使用哪些組件,以及這些組件的許可證、版本和補丁狀態。 由於許多公司有數百個應用程序或軟件系統在使用,每個公司本身可能有成百上千個不同的第三方和開源組件,因此迫切需要準確、最新的軟件物料清單來有效跟踪這些組件.

要了解更多信息,請下載“2021 年軟件漏洞快照:Synopsys 應用程序安全測試服務的分析,”或閱讀 博客文章.

關於Synopsys軟件完整性小組

Synopsys軟件完整性小組可幫助開發團隊構建安全,高質量的軟件,在最大程度提高速度和生產力的同時最大程度地降低風險。 Synopsys是應用程序安全性領域公認的領導者,它提供靜態分析,軟件組成分析和動態分析解決方案,使團隊可以快速查找和修復專有代碼,開源組件和應用程序行為中的漏洞和缺陷。 借助行業領先的工具,服務和專業知識的組合,只有Synopsys才能幫助組織在DevSecOps和整個軟件開發生命週期中優化安全性和質量。 了解更多 www.synopsys.com/software.

關於新思科技

Synopsys公司(納斯達克股票代碼:SNPS)是Silicon to Software™的合作夥伴,為創新公司開發我們每天依賴的電子產品和軟件應用程序。 作為S&P 500公司,Synopsys在電子設計自動化(EDA)和半導體IP領域處於全球領先地位,擁有悠久的歷史,並提供業界最廣泛的應用程序安全測試工具和服務組合。 無論您是創建高級半導體的片上系統(SoC)設計人員,還是編寫更安全,高質量代碼的軟件開發人員,Synopsys都能提供交付創新產品所需的解決方案。 了解更多 www.synopsys.com.

###