加州山景城,2021年11月16日从/ -集成电路制造有限公司委托新思科技公司.(纳斯达克:SNPS)今日公布2021软件漏洞快照:Synopsys应用程序安全测试服务的分析,该报告审查了2020年期间对2600个目标(即软件或系统)进行的3900次测试的数据。这些数据由Synopsys安全顾问在我们的评估中心为客户进行的测试编译,包括渗透测试、动态应用程序安全测试和移动应用程序安全分析,旨在像现实世界的攻击者一样探测正在运行的应用程序。
83%的测试目标是web应用程序或系统,12%是移动应用程序,其余的是源代码或网络系统/应用程序。参加测试的行业包括软件和互联网、金融服务、商业服务、制造业、媒体和娱乐以及医疗保健。
Synopsys software Integrity Group的安全咨询副总裁Girish Janardhanudu表示:“基于云的部署、现代技术框架以及快速的交付速度迫使安全组织在软件发布时做出更快的反应。”由于市场上AppSec资源不足,组织正在利用应用程序测试服务,如Synopsys提供的服务,以灵活地扩展安全测试。在整个大流行期间,我们看到评估需求大幅增加。”
在进行的3 900次测试中,发现97%的目标具有某种形式的脆弱性。30%的目标存在高风险漏洞,6%的目标存在严重风险漏洞。结果表明,安全测试的最佳方法是利用广泛的可用工具来帮助确保应用程序或系统不存在漏洞。例如,28%的测试目标受到了跨站脚本(XSS)攻击,这是影响web应用程序的最普遍和最具破坏性的高/关键风险漏洞之一。许多XSS漏洞仅在应用程序运行时发生。
报告的其他亮点
- 在76%的目标中发现了前10大漏洞.应用程序和服务器错误配置占测试中发现的全部漏洞的21%,以OWASP a05:2021 -安全错误配置类别表示。在发现的漏洞总数中,19%与OWASP a01:2021 -破坏访问控制类别有关。
- 不安全的数据存储和通信漏洞困扰着移动应用。在移动测试中发现的漏洞中,80%与不安全的数据存储有关。这些漏洞可能允许攻击者通过物理方式(即访问被盗设备)或恶意软件访问移动设备。53%的移动测试发现了与不安全通信相关的漏洞。
- 即使风险较低的漏洞也可能被利用来促进攻击。在测试中发现的漏洞中,有64%被认为是最低、低或中等风险。也就是说,攻击者不能直接利用发现的问题来访问系统或敏感数据。尽管如此,暴露这些漏洞并不是徒劳无功,因为即使是风险较低的漏洞也可以被利用来促进攻击。例如,详细的服务器横幅(在49%的测试中发现)提供了服务器名称、类型和版本号等信息,这可能允许攻击者对特定的技术堆栈执行有针对性的攻击。
- 迫切需要一份软件材料清单。值得注意的是,在Synopsys应用程序测试服务(Synopsys Application Testing Services)进行的渗透测试中,有18%发现了正在使用的易受攻击的第三方库的数量。这与2021年OWASP十大类别a06:2021 -易受攻击和过时组件的使用相对应。大多数组织通常混合使用定制代码、商业现货代码和开源组件来创建他们在内部销售或使用的软件。这些组织通常有非正式的(或没有)清单,详细说明他们的软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态。由于许多公司都有数百个应用程序或软件系统在使用,每个应用程序或软件系统本身可能有数百到数千个不同的第三方和开源组件,因此迫切需要一个准确的、最新的软件材料清单来有效地跟踪这些组件。
如欲了解更多,请下载2021软件漏洞快照:Synopsys应用程序安全测试服务的分析,或阅读博客.
关于Synopsys软件完整性组
Synopsys Software Integrity Group帮助开发团队构建安全、高质量的软件,最大限度地降低风险,同时最大限度地提高速度和生产力。Synopsys是应用程序安全领域公认的领导者,提供静态分析、软件组成分析和动态分析解决方案,使团队能够快速发现并修复专有代码、开源组件和应用程序行为中的漏洞和缺陷。通过结合行业领先的工具、服务和专业知识,只有Synopsys可以帮助组织优化DevSecOps和整个软件开发生命周期中的安全性和质量。欲知详情,请浏览www.synopsys.com/software.
关于Synopsys对此
Synopsys, Inc.(纳斯达克股票代码:SNPS)是创新公司的硅到软件™合作伙伴,开发我们每天依赖的电子产品和软件应用程序。作为标准普尔500指数的成分股,Synopsys在电子设计自动化(EDA)和半导体IP领域有着悠久的历史,并提供业界最广泛的应用安全测试工具和服务。无论您是开发先进半导体的片上系统(SoC)设计师,还是编写更安全、高质量代码的软件开发人员,Synopsys都能提供提供创新产品所需的解决方案。欲知详情,请浏览www.synopsys.com.
