Eejournal.

行业新闻
现在就订阅

Synopsys研究发现97%的应用程序存在漏洞,36%的应用程序受到关键或高风险漏洞的影响

2021软件漏洞快照报告检查Synopsys应用程序安全测试服务识别的漏洞的普遍存在。

山景,加利福尼亚州,11月16日,2021年// -Synopsys,Inc.(纳斯达克:SNPS)今天发布了2021年软件漏洞快照:Synopsys应用安全测试服务分析该报告审查了2020年针对2600个目标(即软件或系统)进行的3900次测试的数据。这些数据是由Synopsys安全顾问在我们的客户评估中心进行的测试汇编而成的,包括渗透测试、动态应用程序安全测试和移动应用程序安全分析,旨在像真实世界的攻击者那样探测正在运行的应用程序。

83%的测试对象是web应用程序或系统,12%是移动应用程序,其余的是源代码或网络系统/应用程序。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、媒体和娱乐以及医疗保健。

Synopsys software Integrity Group的安全咨询副总裁Girish Janardhanudu表示:“基于云的部署、现代技术框架和快速的交付速度迫使安全团队在软件发布时做出更快的反应。由于AppSec在市场上的资源不足,各组织正在利用Synopsys提供的应用程序测试服务,以灵活地扩展他们的安全测试。在整个疫情期间,我们看到评估需求大幅增加。”

在进行的3 900次测试中,97%的目标被发现存在某种形式的脆弱性。30%的目标有高风险漏洞,6%有严重风险漏洞。结果表明,安全测试的最佳方法是利用广泛的可用工具来帮助确保应用程序或系统没有漏洞。例如,28%的测试目标暴露于跨站点脚本攻击(XSS),这是影响web应用程序的最普遍和破坏性的高/临界风险漏洞之一。许多XSS漏洞只在应用程序运行时发生。

其他报告亮点

  • 在76%的目标中发现了2021个Owasp十大漏洞在测试中发现的全部漏洞中,应用程序和服务器配置错误占21%,代表为OWASP a05:2021 -安全配置错误类别。19%的被发现的漏洞与OWASP a01 . 2021 -被破坏的访问控制类别相关。
  • 不安全的数据存储和通信漏洞瘟疫移动应用程序。移动测试中发现漏洞的百分之八十个漏洞与不安全的数据存储有关。这些漏洞可以允许攻击者物理地访问移动设备(即,访问被盗设备)或通过恶意软件。五十三个移动测试揭示了与不安全通信相关的漏洞。
  • 甚至可以利用较低的风险漏洞以促进攻击。在测试中发现的漏洞中有64%被认为是最小、低或中等风险的。也就是说,发现的问题不会被攻击者直接利用来访问系统或敏感数据。尽管如此,暴露这些漏洞并非空谈,因为甚至风险更低的漏洞也可能被利用来促进攻击。例如,在49%的测试中发现的详细服务器横幅提供了服务器名称、类型和版本号等信息,这可以允许攻击者对特定技术栈执行有针对性的攻击。
  • 急需一份软件材料清单。注意事项是使用易受攻击的第三方库的数量,发现了由Synopsys应用程序测试服务进行的18%的渗透测试。这对应于2021 OWASP前10类A06:2021使用易受伤害和过时的组件。大多数组织通常使用混合自定义代码,商业现货代码和开源组件,以创建他们在内部销售或使用的软件。通常这些组织具有非正式或无存货,并确切地详细说明他们的软件正在使用的组件以及这些组件的许可证,版本和补丁状态。通过许多公司拥有数百个应用程序或软件系统,每个人都可能拥有数百到数千个不同的第三方和开源组件,准确地需要进行准确的最新软件材料,以有效跟踪这些组件.

如欲了解更多资料,请下载“2021年软件漏洞快照:Synopsys应用安全测试服务分析“或阅读博客文章

关于Synopsys软件完整性组

Synopsys Software Integrity Group帮助开发团队构建安全,高质量的软件,最大限度地减少风险,同时最大化速度和生产率。Synopsys是应用程序安全性的公认的领导者,提供了静态分析,软件成分分析和动态分析解决方案,使团队能够快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。凭借行业领先的工具,服务和专业知识的组合,只有Synopsys帮助组织在DevSecops和整个软件开发生命周期中优化安全性和质量。了解更多www.synopsys.com/software.

关于Synopsys对此

Synopsys,Inc。作为一家标准普尔500亿公司,Synopsys历史悠久的历史悠久,成为电子设计自动化(EDA)和半导体IP的全球领导者,并提供行业广泛的应用程序安全测试工具和服务组合。无论您是片上系统(SOC)设计师,创建高级半导体,还是软件开发人员编写更安全,高质量代码,Synopsys都需要提供创新产品所需的解决方案。了解更多www.synopsys.com.

留下一个回复

特色博客
11月16日,2021年
使用LED时,我们应该首先修改亮度,然后应用伽玛校正,或者我们应该首先应用伽玛矫正然后修改亮度吗?...
11月16日,2021年
EDA工具正在向云计算转移;我们探讨了将云计算资源应用于正式芯片设计验证工作负载的成本/性能优势。“云上的正式验证:以你想要的成本获得你需要的计算资源”这篇文章首先出现了……
11月16日,2021年
圣地亚哥最近举办了第54届微电子国际研讨会。这是一个非常通用的头衔,所以你应该知道它是由IMAPS经营的,国际微电子... [[单击标题以访问Cadence社区网站上的完整博客。]] ......
11月8日,2021年
Intel®FPGA技术日(IFTD)是一个为期四天的免费活动,将于2021年12月6日至9日在北美、中国、日本、EMEA和亚太地区通过虚拟方式举办。IFTD 2021年会的主题是“加速构建智能和互联世界”。这个虚拟事件…

有特色的视频

为可听设备、可穿戴设备和常开设备设计低能耗音频/语音功能

由...赞助节奏设计系统

设计一个需要节省电池寿命的始终如一的系统?需要为您的用户提供免提语音控制吗?观看此视频,了解如何减少带小电池的设备的能耗,并为绿色世界提供带Cadence®Tensilica®HIFI1 DSP系列的解决方案。

更多关于Cadence®Tensilica®HiFi 1 DSP家族的信息

特色论文

添加显示或投影的任何地方与最小的DMD可用

由...赞助德州仪器公司

新的0.16英寸DLP160CP DMD适合任何需要极其紧凑的投影系统的应用程序,在几乎任何表面上创建明亮和清晰的视频或信息图像。现在,您可以将按需投影显示到您的下一代物品互联网,自治机器人或AR眼镜中的按需投影显示。

点击阅读更多

以注入式教学法亚博里的电子竞技

IEC 62368-1过电压要求

由...赞助逮老鼠的电子产品Littelfuse

过压保护是系统设计的经常被忽视和误解的一部分。但通常情况下,设计良好的设备会因过电压事件而宕机。在这一集粉笔谈话中,Amelia Da亚博里的电子竞技lton和Littelfuse的Todd Phillips讨论了新的IEC 623689-1标准,该标准包括哪些测试,以及该标准如何允许更大的安全性和设计灵活性。

点击这里了解更多关于Littelfuse IEC 62368-1产品的信息

Baidu