加州山景城，2022年11月15日从/ -集成电路制造有限公司委托新思科技有限公司(Nasdaq: SNPS)今日公布软件漏洞快照:10个最常见的Web应用程序漏洞报告检视了对2,700个软件目标进行的4,300次安全测试的结果，这些目标包括网络应用程序、移动应用程序、源代码文件和网络系统(即软件或系统)。大多数安全测试是侵入式的“黑盒”或“灰盒”测试，包括渗透测试，动态应用安全测试(DAST),移动应用安全测试(MAST)，旨在像现实世界的攻击者一样探测正在运行的应用程序。

82%的测试目标是web应用程序或系统，13%是移动应用程序，其余的是源代码或网络系统/应用程序。参加测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费服务和医疗保健。

在进行的4300次测试中，95%的目标被发现具有某种形式的漏洞(比去年的发现减少了2%)。20%的攻击目标存在高风险漏洞(比去年减少10%)，4.5%的攻击目标存在严重漏洞(比去年减少1.5%)。

结果表明，安全测试的最佳方法是利用广泛的可用工具，包括静态分析、动态分析和软件组合分析，以帮助确保应用程序或系统不存在漏洞。例如，22%的测试目标存在跨站脚本(XSS)漏洞，这是影响web应用程序的最普遍和最具破坏性的高/关键风险漏洞之一。许多XSS漏洞是在应用程序运行时发生的。好消息是，在今年的调查结果中发现的XSS漏洞比去年的调查结果低了6%，这意味着组织正在采取积极的措施来减轻其生产应用程序中的XSS漏洞。

Synopsys software Integrity Group的安全咨询副总裁Girish Janardhanudu说:“这项研究强调了侵入式黑盒测试技术，如DAST和钢笔测试，对于显示软件开发生命周期中可利用的漏洞特别有效，应该成为任何全面的应用程序安全测试方案的一部分。”

其他报告重点

• OWASP前10大漏洞在77%的目标中被发现．应用程序和服务器错误配置占测试中发现的所有漏洞的18%(比去年的发现减少了3%)，由OWASP A05:2021 -安全错误配置类别代表。发现的漏洞总数中有18%与OWASP A01:2021 -访问控制漏洞类别有关(比去年下降了1%)。
• 迫切需要一个软件材料清单．在21%的渗透测试中发现了脆弱的第三方库(比去年的结果增加了3%)。这与2021年OWASP前10名类别a06:2021 -易受攻击和过时组件的使用。大多数组织混合使用定制代码、商业现货代码和开源组件来创建他们在内部销售或使用的软件。这些组织通常有非正式的(或没有)清单，详细说明他们的软件正在使用哪些组件，以及这些组件的许可证、版本和补丁状态。由于许多公司有数百个应用程序或软件系统在使用，每个公司本身可能有数百到数千个不同的第三方和开源组件，这是一个准确的、最新的组件软件物料清单迫切需要有效地跟踪这些组件。
• 风险较低的漏洞也可以被利用来促进攻击．在测试中发现的漏洞中，有72%被认为是低风险或中等风险。也就是说，攻击者不能直接利用发现的问题来访问系统或敏感数据。尽管如此，重新出现这些漏洞并不是徒劳无功，因为即使是风险较低的漏洞也可以被利用来促进攻击。例如，详细的服务器横幅(在49%的DAST测试和42%的钢笔测试中发现)提供了服务器名称、类型和版本号等信息，允许攻击者对特定的技术堆栈执行有针对性的攻击。

如欲了解更多，请下载软件漏洞快照:10个最常见的Web应用程序漏洞，或阅读博客．

关于Synopsys软件完整性组

Synopsys Software Integrity Group提供集成解决方案，改变开发团队构建和交付软件的方式，在解决业务风险的同时加速创新。我们业界领先的软件安全产品和服务组合是世界上最全面的，并与第三方和开源工具互操作，允许组织利用现有投资来构建最适合他们的安全计划。只有Synopsys能提供你在软件中建立信任所需的一切。欲知详情，请浏览www.synopsys.com/software．

关于Synopsys对此

Synopsys, Inc.(纳斯达克股票代码:SNPS)是创新公司的硅到软件™合作伙伴，开发我们每天依赖的电子产品和软件应用程序。作为标准普尔500指数的成分股，Synopsys在电子设计自动化(EDA)和半导体IP领域有着悠久的历史，并提供业界最广泛的应用安全测试工具和服务。无论您是开发先进半导体的片上系统(SoC)设计师，还是编写更安全、高质量代码的软件开发人员，Synopsys都能提供提供创新产品所需的解决方案。欲知详情，请浏览www.synopsys.com．

• 
• 
• 
• 
•