报告下载 | 《2022年软件漏洞快照》

admin 2022年12月23日23:32:17评论116 views字数 2078阅读6分55秒阅读模式

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯


新思科技(Synopsys, Nasdaq: SNPS)近日发布了《2022年软件漏洞快照》报告。该报告审查了对2,700多个目标软件进行的4,300多次安全测试的结果,包括Web应用、移动应用、源代码文件和网络系统(即软件或系统)。大多数安全测试是侵入式“黑盒”或“灰盒”测试,包括渗透测试、动态应用安全测试 (DAST) 和移动应用安全测试 (MAST),旨在探测在真实环境不法分子会如何攻击正在运行的应用。


报告下载 | 《2022年软件漏洞快照》


研究发现,82%的测试目标是Web应用或系统,13%是移动应用,其余是源代码或网络系统/应用。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。


在进行的4,300多次测试中,新思科技发现95%的目标应用存在某种形式的漏洞(比去年的调查结果减少了 2%);20%存在高危漏洞(比去年减少10%);4.5%存在严重漏洞(比去年减少1.5%)。


结果表明,安全测试的最佳方法是利用广泛的可用工具,包括静态分析、动态分析和软件组成分析,以帮助确保应用或系统没有漏洞。例如,总测试目标中有22%暴露于跨站点脚本(XSS) 漏洞。这是影响Web应用最普遍和最具破坏性的高/严重风险漏洞之一。许多XSS漏洞发生在应用运行时。好消息是,今年的调查结果中发现的风险比去年低6%。这意味着企业正在采取积极措施,以减少其应用中的XSS漏洞。


报告下载 | 《2022年软件漏洞快照》


新思科技软件质量与安全部门安全咨询副总裁Girish Janardhanudu指出:“此研究报告强调,采用诸如DAST 和渗透测试等侵入式黑盒测试技术,可以有效发现软件开发生命周期中的漏洞。一个全面的应用安全测试方案应该将这类安全工具应该纳入其中。”


报告下载 | 《2022年软件漏洞快照》





《2022年软件漏洞快照》报告还发现:

在78%的目标应用中发现了OWASP排名前10的漏洞。

应用和服务器配置错误占测试中发现的总体漏洞的18%(比去年的调查结果减少 3%),以OWASP “A05:2021 - 安全配置错误”为主。发现的漏洞总数中有18%可归为2021 OWASP Top 10中的“A01:2021 – 访问控制失效”(比去年减少1%)。


迫切需要软件物料清单(SBOM)。

在21%的渗透测试中发现了易受攻击的第三方库(比去年的调查结果增加了3%)。这对应于2021年OWASP排名前10名中的“A06:2021 - 易受攻击和过时的组件”。大多数企业混合使用定制代码、商业现成代码和开源组件来创建他们在销售或内部使用的软件。这些企业通常有非正式的(或没有)物料清单,不能详细说明他们的软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态。许多公司在使用数百个应用或软件系统,每个公司本身可能有成百上千个不同的第三方和开源组件。因此,他们迫切需要准确、最新的SBOM,以有效追踪这些组件。


低风险漏洞也会被利用以发起攻击。

在测试中发现的漏洞中有72%被认为是低风险或中等风险。也就是说,攻击者无法直接利用发现的漏洞来访问系统或敏感数据。尽管如此,这些漏洞风险不容小觑,因为不法分子甚至可以利用风险较低的漏洞来发起攻击。例如,冗长的服务器Banner信息(在49%的DAST测试和42%的渗透测试中发现)提供了服务器名称、类型和版本号等信息,攻击者可以利用这些信息对特定技术栈发起有针对性的攻击。


关注公众号“谈思实验室”,回复“1222”,即可下载《2022年软件漏洞快照》。

WISS 2023 第四届世界物联网安全及数据安全治理峰会火热报名中 , 欢迎报名

报告下载 | 《2022年软件漏洞快照》

更多文章

智能网联汽车信息安全综述

华为蔡建永:智能网联汽车的数字安全和功能安全挑战与思考

汽车数据合规要点

车载以太网技术发展与测试方法

车载以太网防火墙设计

SOA:整车架构下一代的升级方向

软件如何「吞噬」汽车?

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架,我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级(OTA)技术的合规

如何通过CAN破解汽

会员权益: (点击可进入)谈思实验室VIP会员


END

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。

 

每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全功能安全自动驾驶TARA渗透测试SOTIFWP.29以太网物联网安全等,现专题社群仍然开放,入满即止。


扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。

报告下载 | 《2022年软件漏洞快照》


谈思实验室,为汽车科技赋能,推动产业创新发展!

原文始发于微信公众号(谈思实验室):报告下载 | 《2022年软件漏洞快照》

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月23日23:32:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   报告下载 | 《2022年软件漏洞快照》http://cn-sec.com/archives/1479087.html

发表评论

匿名网友 填写信息