新思科技(Synopsys)近日发布了《2021年软件漏洞报告:新思科技应用安全测试服务分析》(2021 Software Vulnerability Snapshot: An Analysis by Synopsys Application Security Testing Services, 以下简称为报告)。
报告显示,在3,900次测试中,97%的被测目标存在某种形式的漏洞,其中30%属于高风险漏洞,6%属于严重风险漏洞。结果表明,安全测试的最佳方法是利用广泛可用的工具来帮助确保应用或系统没有漏洞。
28%的测试目标曾遭受过跨站脚本(XSS)攻击。这是影响web应用最普遍且最具破坏性的关键风险漏洞之一。许多XSS漏洞仅在应用运行时出现。
对软件物料清单的需求迫切。在新思科技应用程序安全测试服务进行的渗透测试中,发现18%的系统在使用易受攻击的第三方库,这一漏洞属于OWASP在2021年发布的前十大漏洞中的A06: 2021–易受攻击和过时的组件类别。一般多数组织会混合使用私有代码、商业现成代码及开源组件来开发对外销售的或内部使用的软件。通常情况下,这些企业仅通过非正式清单来记录其软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态,有时甚至没有清单来记录这些内容。现在很多企业都在同时使用数百个应用程序或软件系统,并且拥有数百甚至数千个不同的第三方组件或开源组件,对这些企业来说,一份准确且实时更新的软件物料清单来有效追踪这些组件是非常有必要的。
新冠疫情大幅加剧了安全评估需求。基于云的部署、现代技术框架和交付速度等都在迫使安全部门做出更快的反应。市场上的AppSec资源严重不足,各企业都在使用如我们提供的应用测试服务灵活拓展其安全测试。
Girish Janardhanudu
软件质量与安全事业部安全顾问副总裁
新思科技
本报告分析了新思科技在2020年对2,600个目标所进行的3,900次测试数据。这些测试包括渗透测试、动态应用安全测试和移动应用安全分析等,通过模拟真实世界中攻击者的行为来测试正在运行的应用。在2600个测试目标中,83%是Web应用,12%是移动应用,其余则是源代码或网络系统/应用。测试的行业包括软件和互联网、金融服务、商业服务、制造业、媒体和娱乐业以及医疗健康行业。
扫描下方二维码,查看完整报告
