搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

      3天內不再提示

      2022軟件安全年終大考成績公布:95%軟件都有漏洞,你是那5%嗎?

      新思科技 ? 來源:未知 ? 2022-12-26 17:15 ? 次閱讀

      新思科技(Synopsys)近日發(fā)布了《2022年軟件漏洞報告該報告對2,700多個目標軟件進行了4,300多次安全測試,并對結果進行了審查。 報告顯示,在4,300多次測試中:

      • 95%的目標應用存在某種形式的漏洞,比去年減少2%

      • 20%存在高危漏洞,比去年減少10%

      • 4.5%存在嚴重漏洞,比去減少1.5%

      6748f142-84fd-11ed-bfe3-dac502259ad0.jpg ?22%的目標測試暴露于跨站點腳本(XSS)漏洞。這是影響Web應用最普遍和最具破壞性的高/嚴重風險漏洞之一。許多XSS漏洞發(fā)生在應用運行時。好消息是,今年的調查結果中發(fā)現(xiàn)的風險比去年低6%。這意味著企業(yè)正在采取積極措施,以減少其應用中的XSS漏洞。 78%的目標應用中發(fā)現(xiàn)了OWASP排名前10的漏洞。其中,應用和服務器配置錯誤占測試中發(fā)現(xiàn)的總體漏洞的18%(比去年的調查結果減少 3%),以OWASP “A05:2021 - 安全配置錯誤”為主。發(fā)現(xiàn)的漏洞總數(shù)中有18%可歸為2021 OWASP Top 10中的“A01:2021 – 訪問控制失效”(比去年減少1%)。 21%的滲透測試中發(fā)現(xiàn)了易受攻擊的第三方庫(比去年的調查結果增加了3%)。這對應于2021年OWASP排名前10名中的“A06:2021-易受攻擊和過時的組件”。大多數(shù)企業(yè)混合使用定制代碼、商業(yè)現(xiàn)成代碼和開源組件來創(chuàng)建他們在銷售或內部使用的軟件。這些企業(yè)通常有非正式的(或沒有)物料清單,不能詳細說明他們的軟件正在使用哪些組件,以及這些組件的許可證、版本和補丁狀態(tài)。許多公司在使用數(shù)百個應用或軟件系統(tǒng),每個公司本身可能有成百上千個不同的第三方和開源組件。因此,他們迫切需要準確、最新的軟件物料清單(SBOM),以有效追蹤這些組件。 72%的漏洞被認為是低風險或中等風險。也就是說,攻擊者無法直接利用發(fā)現(xiàn)的漏洞來訪問系統(tǒng)或敏感數(shù)據。盡管如此,這些漏洞風險不容小覷,因為不法分子甚至可以利用風險較低的漏洞來發(fā)起攻擊。例如,冗長的服務器Banner信息(在49%的DAST測試和42%的滲透測試中發(fā)現(xiàn))提供了服務器名稱、類型和版本號等信息,攻擊者可以利用這些信息對特定技術棧發(fā)起有針對性的攻擊。所以說,低風險漏洞同樣不容小覷,也會被利用以發(fā)起攻擊。

      67a1047c-84fd-11ed-bfe3-dac502259ad0.svg

      此研究報告強調,采用諸如DAST和滲透測試等侵入式黑盒測試技術,可以有效發(fā)現(xiàn)軟件開發(fā)生命周期中的漏洞。一個全面的應用安全測試方案應該將這類安全工具納入其中。 Girish Janardhanudu軟件質量與安全部門安全咨詢副總裁新思科技

      67bc71d0-84fd-11ed-bfe3-dac502259ad0.png ?本報告中的大多數(shù)安全測試是侵入式“黑盒”或“灰盒”測試,包括滲透測試、動態(tài)應用安全測試(DAST)和移動應用安全測試(MAST),旨在探測在真實環(huán)境不法分子會如何攻擊正在運行的應用。參與測試的行業(yè)包括軟件和互聯(lián)網、金融服務、商業(yè)服務、制造業(yè)、消費者服務和醫(yī)療保健。其中82%的測試目標是Web應用或系統(tǒng),13%是移動應用,其余則是源代碼或網絡系統(tǒng)/應用。安全測試的最佳方法是利用廣泛的可用工具,包括靜態(tài)分析、動態(tài)分析和軟件組成分析,以幫助確保應用或系統(tǒng)沒有漏洞。 掃描下方二維碼,查看完整報告

      67ed7f00-84fd-11ed-bfe3-dac502259ad0.png

      原文標題:2022軟件安全年終大考成績公布:95%軟件都有漏洞,你是那5%嗎?

      文章出處:【微信公眾號:新思科技】歡迎添加關注!文章轉載請注明出處。


      聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 新思科技
        +關注

        關注

        5

        文章

        775

        瀏覽量

        50191

      原文標題:2022軟件安全年終大考成績公布:95%軟件都有漏洞,你是那5%嗎?

      文章出處:【微信號:Synopsys_CN,微信公眾號:新思科技】歡迎添加關注!文章轉載請注明出處。

      收藏 人收藏

        評論

        相關推薦

        RT-Thread出席2024汽車軟件安全技術周!

        背景ATC作為汽車技術會議領域的領先平臺,專注于汽車電子與軟件版塊的技術交流將近10年歷程,深耕行業(yè)問題,觸達客戶需求。并于2022年8月首次推出“汽車軟件安全技術周”,2023年8
        的頭像 發(fā)表于 07-17 08:35 ?167次閱讀
        RT-Thread出席2024汽車<b class='flag-5'>軟件</b>與<b class='flag-5'>安全</b>技術周!

        華為云 CodeArts 12 大安全防護機制,端到端全面保障軟件供應鏈安全!

        全球網絡安全事件頻發(fā)不斷,企業(yè)紛紛損失慘重。2021 年 11 月,知名 logo4j 漏洞波及全球多達 6 萬款開源軟件,70%以上企業(yè)受影響。2022 年 3 月, 大型加油站服務
        的頭像 發(fā)表于 07-12 18:04 ?716次閱讀
        華為云 CodeArts 12 大<b class='flag-5'>安全</b>防護機制,端到端全面保障<b class='flag-5'>軟件</b>供應鏈<b class='flag-5'>安全</b>!

        華為云CodeArts推出端到端全面保障軟件供應鏈安全解決方案

        全球網絡安全事件頻發(fā)不斷,企業(yè)紛紛損失慘重。2021年11月,知名logo4j漏洞波及全球多達6萬款開源軟件,70%以上企業(yè)受影響。
        的頭像 發(fā)表于 05-24 15:22 ?439次閱讀

        企業(yè)使用內網安全管理軟件的好處

        監(jiān)控網絡活動,及早發(fā)現(xiàn)網絡安全漏洞,防止未經授權的訪問、篡改和操縱數(shù)據。 管理網絡用戶:內網安全管理軟件可以更好地管理網絡用戶,比如給不同角色的用戶分配恰當?shù)臋嘞?,以確保網絡數(shù)據的安全
        的頭像 發(fā)表于 05-22 13:27 ?217次閱讀

        Adobe修復35項安全漏洞,主要涉及Acrobat和FrameMaker

        值得關注的是,Adobe對Acrobat及Acrobat Reader軟件漏洞修復最為重視,共修復了12個漏洞,其中9個為“遠程執(zhí)行代碼”嚴重漏洞,主要由RAM的“Use After
        的頭像 發(fā)表于 05-16 15:12 ?543次閱讀

        一次Rust重寫基礎軟件的實踐

        受到2022年“谷歌使用Rust重寫Android系統(tǒng)且所有Rust代碼的內存安全漏洞為零” [1] 的啟發(fā),最近筆者懷著濃厚的興趣也順應Rust 的潮流,嘗試著將一款C語言開發(fā)的基礎軟件轉化
        的頭像 發(fā)表于 01-25 11:21 ?483次閱讀

        AI加入軟件會更安全

        “變化即常態(tài)”是技術領域的主旋律。隨著新技術的飛速發(fā)展,軟件安全的復雜性也在不斷增加,不法分子總是能發(fā)掘出更隱蔽的手段進行網絡攻擊。雖然沒有人能夠準確斷言未來軟件安全的發(fā)展,但開發(fā)者們
        的頭像 發(fā)表于 01-25 09:40 ?565次閱讀

        軟件測試活動有哪些?

        政府、事業(yè)單位、企業(yè)、學校等項目驗收) 3、系統(tǒng)測試報告(適用于軟件和系統(tǒng)集成項目,開發(fā)方發(fā)起并組織的項目驗收) 4、性能測試報告(適用于項目性能驗證、性能調優(yōu)、發(fā)現(xiàn)性能缺陷等應用場景) 5、安全
        發(fā)表于 01-08 11:11

        開源漏洞共享平臺及安全獎勵計劃正式發(fā)布

        列文,以及來自阿里云、百度、工信部電子五所、華為、京東科技、螞蟻集團、奇安信、清華大學、深信服、騰訊、統(tǒng)信軟件、浙江大學、中國科學院軟件所等單位代表共同發(fā)布。 開源漏洞共享平臺及安全
        的頭像 發(fā)表于 12-21 17:32 ?569次閱讀
        開源<b class='flag-5'>漏洞</b>共享平臺及<b class='flag-5'>安全</b>獎勵計劃正式發(fā)布

        汽車網絡安全:防止汽車軟件中的漏洞

        汽車網絡安全在汽車開發(fā)中至關重要,尤其是在 汽車軟件 日益互聯(lián)的情況下。在這篇博客中,我們將分享如何防止汽車網絡安全漏洞。 靜態(tài)分析工具有助于執(zhí)行關鍵的汽車編碼指南(如MISRA和AUTOSAR C++14),并協(xié)助遵守功能
        的頭像 發(fā)表于 12-21 16:12 ?979次閱讀
        汽車網絡<b class='flag-5'>安全</b>:防止汽車<b class='flag-5'>軟件</b>中的<b class='flag-5'>漏洞</b>

        開源漏洞共享平臺及安全獎勵計劃正式發(fā)布

        來自阿里云、百度、工信部電子五所、華為、京東科技、螞蟻集團、奇安信、清華大學、深信服、騰訊、統(tǒng)信軟件、浙江大學、中國科學院軟件所等單位代表共同發(fā)布。 開源漏洞共享平臺及安全獎勵計劃發(fā)布
        的頭像 發(fā)表于 12-17 15:50 ?946次閱讀
        開源<b class='flag-5'>漏洞</b>共享平臺及<b class='flag-5'>安全</b>獎勵計劃正式發(fā)布

        解鎖未來軟件安全的利器——華為云 CodeArts 開源治理服務

        在當今數(shù)字化時代,軟件安全問題愈發(fā)突顯,而開源軟件的廣泛應用更是為安全挑戰(zhàn)蒙上了一層陰影。開源軟件漏洞
        的頭像 發(fā)表于 12-10 21:01 ?832次閱讀
        解鎖未來<b class='flag-5'>軟件</b><b class='flag-5'>安全</b>的利器——華為云 CodeArts 開源治理服務

        再談“軟件定義汽車”,剖析SOAFEE的成績、打法和目標

        SOAFEE方面取得了斐然的成績,讓“軟件定義汽車”不再是一句口號,而是汽車產業(yè)升級的法寶。 ? SOAFEE的三大價值 回顧2021年時的發(fā)布,Arm公司表示推進
        的頭像 發(fā)表于 12-06 18:14 ?2194次閱讀
        再談“<b class='flag-5'>軟件</b>定義汽車”,剖析SOAFEE的<b class='flag-5'>成績</b>、打法和目標

        探秘STM32U5安全特性|硬件加解密引擎與軟件算法對比

        探秘STM32U5安全特性|硬件加解密引擎與軟件算法對比
        的頭像 發(fā)表于 10-27 10:23 ?1499次閱讀
        探秘STM32U<b class='flag-5'>5</b><b class='flag-5'>安全</b>特性|硬件加解密引擎與<b class='flag-5'>軟件</b>算法對比

        統(tǒng)一系統(tǒng)脆弱性管理平臺:讓“網絡安全漏洞”無處遁形

        網絡安全漏洞是網絡節(jié)點的系統(tǒng)軟件或應用軟件在邏輯設計上的缺陷,漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)
        的頭像 發(fā)表于 09-25 10:30 ?487次閱讀
        統(tǒng)一系統(tǒng)脆弱性管理平臺:讓“網絡<b class='flag-5'>安全漏洞</b>”無處遁形