广告

97%的应用存在漏洞,其中有36%正受严重或高风险漏洞的影响

时间:2022-02-24 10:23:55 作者:新思科技 阅读:
《2021年软件漏洞快照:新思科技应用安全测试服务分析》报告分析了2020年对2,600个目标(即软件或系统)进行的3,900次测试的数据。这些数据由新思科技安全顾问在评估中心为客户进行的测试汇编而成,包括渗透测试、动态应用安全测试和移动应用安全分析,模拟真实世界中攻击者的行为以测试正在运行的应用。
广告

在数字经济时代,软件是大多数企业与客户互动和提供客户支持的主要方式。如果企业所销售的软件或包含嵌入式软件的产品出现了影响产品使用的软件安全、合规或质量问题,将给企业带来难以承受的影响。即使是不直接参与软件或软件驱动产品销售的企业,也会受到软件质量和安全问题的影响。例如,大多数的工资单、账单、应收账款、销售跟踪和客户记录的管理系统都是由软件驱动的。软件控制生产、管理库存、指挥仓储活动、并运行着确保正常业务运营的分销系统。因此,对软件安全的了解及应用安全测试须更加全面。

新思科技(Synopsys, Inc.,)近日发布了2021年软件漏洞快照新思科技应用安全测试服务分析》报告(2021 Software Vulnerability Snapshot: An Analysis by Synopsys Application Security Testing Services, 以下简称为报告)。该报告分析了2020年对2,600个目标(即软件或系统)进行的3,900次测试的数据。这些数据由新思科技安全顾问在评估中心为客户进行的测试汇编而成,包括渗透测试、动态应用安全测试和移动应用安全分析,模拟真实世界中攻击者的行为以测试正在运行的应用。

其中83%的测试目标是Web应用,12%是移动应用,其余的则是源代码或网络系统/应用。测试的行业包括软件和互联网、金融服务、商业服务、制造业、媒体和娱乐业以及医疗健康行业。

新思科技软件质量与安全部门安全顾问副总裁Girish Janardhanudu表示:“现在,基于云的部署、现代技术框架和快速的交付速度正迫使安全部门做出更快的反应。由于市场上AppSec资源不足,各企业正在利用新思科技等提供的应用安全测试服务,以便灵活地扩展其安全测试。我们已经看到,在疫情期间,安全评估需求大幅增加。”

在3,900次测试中,97%的被测目标被发现存在某种形式的漏洞;其中30%的目标是高风险漏洞;6%是严重风险漏洞。结果表明,安全测试的最佳方法是利用广泛可用工具来帮助确保应用或系统没有漏洞。例如,28%的测试目标曾遭受过跨站脚本(XSS)攻击。这是影响web应用最普遍和最具破坏性的高/关键风险漏洞之一。许多XSS漏洞仅在应用运行时出现。

报告的其他重点

76%被测目标中发现了2021OWASP Top 10漏洞。应用程序和服务器配置错误占测试中发现的全部漏洞的21%,代表性的有OWASP A05:2021 – 安全配置错误类别。另外,发现的总漏洞中有19%与OWASP A01:2021 – 访问控制失效类别有关。

不安全的数据存储和通信漏洞困扰着移动应用程序。在移动测试发现的漏洞中,有80%与不安全的数据存储有关。这些漏洞使得攻击者可以通过物理方式(即访问被盗设备)或者恶意软件访问移动设备。移动测试发现的漏洞中还有53%与不安全的通信方式相关。

即使是风险漏洞也可能被利用来促攻击。通过测试发现,其中64%的漏洞被认为是较低、低或中等风险。也就是说,攻击者无法直接利用所发现的漏洞去访问系统或敏感数据。尽管如此,找出这些漏洞并非无用之功,因为即使是低风险漏洞也可以被利用来促成攻击。例如,测试中发现有49%的服务器横幅能详细提供服务器名称、类型和版本号等信息,可能有助于攻击者对特定的技术堆栈发动有针对性的攻击。

对软件物料清单的迫切需求。值得注意的是,在新思科技应用程序安全测试服务进行的渗透测试中,发现了有18%的系统在使用易受攻击的第三方库。这与2021年OWASP TOP10漏洞里的A06:2021 – 易受攻击和过时的组件类别相一致。大多数组织一般会混合使用私有代码、商业现成代码和开源组件来开发对外销售或内部使用的软件。通常情况下,这些企业仅通过非正式清单或甚至没有清单,来记录其软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态。由于许多企业在使用数百个应用程序或软件系统,可能拥有数百至数千个不同的第三方和开源组件,因此迫切需要一份准确时新的软件物料清单(SBOM)来有效追踪这些组件。

责编:Luffy
  • 中国EDA产业浪潮,春风化雨新十年(上)—发展机遇篇 在刚刚过去的2021年里,国内EDA企业数量、融资案例数量和金额、产品与技术发布都呈快速增加态势,多家EDA公司纷纷抢滩登陆二级市场,中国EDA行业正以前所未有的速度驶入发展的快车道。那么,产业高速发展背后的驱动力来自哪里?何处才是国产EDA的突破口?
  • MathWorks:2022年AI行业十大关键趋势 从2020年起,每年追踪并发布全球人工智能(AI)最新发展趋势,已经成为MathWorks公司的一种惯例。日前,该公司又发布了2022年及以后推动AI发展的十大关键趋势预测,让我们一起来了解一下。
  • 嵌入式北斗时间服务器的B码授时实现 本文介绍了嵌入式北斗时间服务器的主要功能,B码的实现原理,重点讲述了设备中B码编码和B码解码的实现过程。
  • 2022年工业互联网市场10大方向(附中国产业图谱) 工业互联网千亿级的市场前景,吸引了众多厂商持续入局。然而,入局容易做大难,细分领域众多的市场给厂商选择方向带来了不小的挑战。结合2021年的研究,我们梳理预测了2022年更多厂商在加大投入和关注的热点市场方向,总结为10个关键词,供行业参考。
  • 如何编写有利于编译器优化的代码 在嵌入式开发中,代码的体积和运行效率非常重要,代码体积往往和芯片的FLASH、RAM容量对应,程序的运行效率也要求在相应能力的处理器上运行。在大多数情况下,成熟的开发人员都希望降低代码体积、提高代码运行效率,然而具体该怎么做呢?
  • 为加速AI落地企业IT,英伟达布下一盘超大棋局 NVIDIA EGX平台将计算和图形加速、高速安全网络和企业级管理引入到领先的企业数据中心服务器中,支持大量加速应用程序,为客户提供了一种在高性能、经济高效且可扩展的统一基础架构上运行各种传统和现代应用的方式,使用户能够立即提高产品化效率。
  • 新款iPad Pro 2021成最受欢迎的 由于采用性能相对强大的M1处理器和mini-LED屏幕以及更多的创新,新款iPad Pro 2021已经成为消费者心目中最受欢迎。然而,iPad 2却已经在全球范围内被列入“复古和过时”的名单中。
  • 三星折叠屏手机Galaxy Z Fold 3 目前来看,折叠屏新机作为一种新的生产力工具,逐渐成为高端/平板的一种趋势,有报料称三星的Galaxy Z Fold 3发布时间或为7月,并且会引入新手势操控。
  • Porotech动态像素调整技术实现Micr 由于我们彻底巅覆 GaN 的半导体材料和结构技术,让我们突破在单位像素上呈现全光谱颜色。同时,PoroGaN微显示平台的光电特性,简化了电子和光电系统设计集成的过程。目前微米纳米级的Micro-LED 和 Mini-LED 显示器在制造所需的多阶段工艺仍然具有挑战性,凭借 Porotech 的多孔氮化镓 (GaN) 技术和架构平台,可以大幅简化现有质量转移(Mass Transfer)或拾取和放置(Pick-and-Place)等Micro-LED制程。
  • 豪威集团在AutoSens展会上首次推出 OAX4600可实现无缝隙的驾驶员/乘员监控系统功能和灵活的汽车设计,在较小的封装内集成低功耗的RGB-IR ISP和两个NPU 
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了