搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

      3天內不再提示

      2022軟件安全年終大考成績公布:95%軟件都有漏洞,你是那5%嗎?

      新思科技 ? 來源:未知 ? 2022-12-26 17:15 ? 次閱讀

      新思科技(Synopsys)近日發(fā)布了《2022年軟件漏洞報告。該報告對2,700多個目標軟件進行了4,300多次安全測試,并對結果進行了審查。 報告顯示,在4,300多次測試中:

      • 95%的目標應用存在某種形式的漏洞,比去年減少2%

      • 20%存在高危漏洞,比去年減少10%

      • 4.5%存在嚴重漏洞,比去減少1.5%

      6748f142-84fd-11ed-bfe3-dac502259ad0.jpg ?22%的目標測試暴露于跨站點腳本(XSS)漏洞。這是影響Web應用最普遍和最具破壞性的高/嚴重風險漏洞之一。許多XSS漏洞發(fā)生在應用運行時。好消息是,今年的調查結果中發(fā)現(xiàn)的風險比去年低6%。這意味著企業(yè)正在采取積極措施,以減少其應用中的XSS漏洞。 78%的目標應用中發(fā)現(xiàn)了OWASP排名前10的漏洞。其中,應用和服務器配置錯誤占測試中發(fā)現(xiàn)的總體漏洞的18%(比去年的調查結果減少 3%),以OWASP “A05:2021 - 安全配置錯誤”為主。發(fā)現(xiàn)的漏洞總數(shù)中有18%可歸為2021 OWASP Top 10中的“A01:2021 – 訪問控制失效”(比去年減少1%)。 21%的滲透測試中發(fā)現(xiàn)了易受攻擊的第三方庫(比去年的調查結果增加了3%)。這對應于2021年OWASP排名前10名中的“A06:2021-易受攻擊和過時的組件”。大多數(shù)企業(yè)混合使用定制代碼、商業(yè)現(xiàn)成代碼和開源組件來創(chuàng)建他們在銷售或內部使用的軟件。這些企業(yè)通常有非正式的(或沒有)物料清單,不能詳細說明他們的軟件正在使用哪些組件,以及這些組件的許可證、版本和補丁狀態(tài)。許多公司在使用數(shù)百個應用或軟件系統(tǒng),每個公司本身可能有成百上千個不同的第三方和開源組件。因此,他們迫切需要準確、最新的軟件物料清單(SBOM),以有效追蹤這些組件。 72%的漏洞被認為是低風險或中等風險。也就是說,攻擊者無法直接利用發(fā)現(xiàn)的漏洞來訪問系統(tǒng)或敏感數(shù)據(jù)。盡管如此,這些漏洞風險不容小覷,因為不法分子甚至可以利用風險較低的漏洞來發(fā)起攻擊。例如,冗長的服務器Banner信息(在49%的DAST測試和42%的滲透測試中發(fā)現(xiàn))提供了服務器名稱、類型和版本號等信息,攻擊者可以利用這些信息對特定技術棧發(fā)起有針對性的攻擊。所以說,低風險漏洞同樣不容小覷,也會被利用以發(fā)起攻擊。

      67a1047c-84fd-11ed-bfe3-dac502259ad0.svg

      此研究報告強調,采用諸如DAST和滲透測試等侵入式黑盒測試技術,可以有效發(fā)現(xiàn)軟件開發(fā)生命周期中的漏洞。一個全面的應用安全測試方案應該將這類安全工具納入其中。 Girish Janardhanudu軟件質量與安全部門安全咨詢副總裁新思科技

      67bc71d0-84fd-11ed-bfe3-dac502259ad0.png ?本報告中的大多數(shù)安全測試是侵入式“黑盒”或“灰盒”測試,包括滲透測試、動態(tài)應用安全測試(DAST)和移動應用安全測試(MAST),旨在探測在真實環(huán)境不法分子會如何攻擊正在運行的應用。參與測試的行業(yè)包括軟件和互聯(lián)網、金融服務、商業(yè)服務、制造業(yè)、消費者服務和醫(yī)療保健。其中82%的測試目標是Web應用或系統(tǒng),13%是移動應用,其余則是源代碼或網絡系統(tǒng)/應用。安全測試的最佳方法是利用廣泛的可用工具,包括靜態(tài)分析、動態(tài)分析和軟件組成分析,以幫助確保應用或系統(tǒng)沒有漏洞。 掃描下方二維碼,查看完整報告

      67ed7f00-84fd-11ed-bfe3-dac502259ad0.png

      原文標題:2022軟件安全年終大考成績公布:95%軟件都有漏洞,你是那5%嗎?

      文章出處:【微信公眾號:新思科技】歡迎添加關注!文章轉載請注明出處。


      聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 新思科技
        +關注

        關注

        5

        文章

        798

        瀏覽量

        50337

      原文標題:2022軟件安全年終大考成績公布:95%軟件都有漏洞,你是那5%嗎?

      文章出處:【微信號:Synopsys_CN,微信公眾號:新思科技】歡迎添加關注!文章轉載請注明出處。

      收藏 人收藏

        評論

        相關推薦

        RAID 5 硬件與軟件 RAID 的區(qū)別

        RAID 5硬件RAID與軟件RAID之間存在顯著的差異,這些差異主要體現(xiàn)在實現(xiàn)方式、性能、數(shù)據(jù)安全性、靈活性以及成本等方面。 一、實現(xiàn)方式 硬件RAID : 依賴于專用的硬件RAID控制器來管理
        的頭像 發(fā)表于 12-27 18:05 ?301次閱讀

        XtremeVision 3.0顯微軟件 #精密測量 #工業(yè)軟件 #國產軟件 #3D視覺

        軟件
        中圖儀器
        發(fā)布于 :2024年08月26日 14:33:37

        RT-Thread出席2024汽車軟件安全技術周!

        背景ATC作為汽車技術會議領域的領先平臺,專注于汽車電子與軟件版塊的技術交流將近10年歷程,深耕行業(yè)問題,觸達客戶需求。并于2022年8月首次推出“汽車軟件安全技術周”,2023年8
        的頭像 發(fā)表于 07-17 08:35 ?256次閱讀
        RT-Thread出席2024汽車<b class='flag-5'>軟件</b>與<b class='flag-5'>安全</b>技術周!

        華為云 CodeArts 12 大安全防護機制,端到端全面保障軟件供應鏈安全

        全球網絡安全事件頻發(fā)不斷,企業(yè)紛紛損失慘重。2021 年 11 月,知名 logo4j 漏洞波及全球多達 6 萬款開源軟件,70%以上企業(yè)受影響。2022 年 3 月, 大型加油站服務
        的頭像 發(fā)表于 07-12 18:04 ?803次閱讀
        華為云 CodeArts 12 大<b class='flag-5'>安全</b>防護機制,端到端全面保障<b class='flag-5'>軟件</b>供應鏈<b class='flag-5'>安全</b>!

        生成式AI之下,軟件供應鏈安全的升級更迫切

        電子發(fā)燒友網報道(文/黃晶晶)AI大模型不僅能夠文生圖、文生視頻、人機對話等,還能夠幫助開發(fā)人員寫代碼,但這又出現(xiàn)另一個問題,ChatGPT產生的代碼也可能存在漏洞??梢哉f,全球軟件供應鏈安全正面
        的頭像 發(fā)表于 05-31 18:05 ?6994次閱讀
        生成式AI之下,<b class='flag-5'>軟件</b>供應鏈<b class='flag-5'>安全</b>的升級更迫切

        華為云CodeArts推出端到端全面保障軟件供應鏈安全解決方案

        全球網絡安全事件頻發(fā)不斷,企業(yè)紛紛損失慘重。2021年11月,知名logo4j漏洞波及全球多達6萬款開源軟件,70%以上企業(yè)受影響。
        的頭像 發(fā)表于 05-24 15:22 ?560次閱讀

        企業(yè)使用內網安全管理軟件的好處

        監(jiān)控網絡活動,及早發(fā)現(xiàn)網絡安全漏洞,防止未經授權的訪問、篡改和操縱數(shù)據(jù)。 管理網絡用戶:內網安全管理軟件可以更好地管理網絡用戶,比如給不同角色的用戶分配恰當?shù)臋嘞蓿源_保網絡數(shù)據(jù)的安全
        的頭像 發(fā)表于 05-22 13:27 ?334次閱讀

        Adobe修復35項安全漏洞,主要涉及Acrobat和FrameMaker

        值得關注的是,Adobe對Acrobat及Acrobat Reader軟件漏洞修復最為重視,共修復了12個漏洞,其中9個為“遠程執(zhí)行代碼”嚴重漏洞,主要由RAM的“Use After
        的頭像 發(fā)表于 05-16 15:12 ?737次閱讀

        金邦達寶嘉公布2023全年業(yè)績

        香港2024年3月20日 /美通社/ -- 金邦達寶嘉控股有限公司及其附屬公司(以下合稱"金邦達"、"集團"股份代碼:03315.HK)今日公布截至二零二三年十二月三十一日止之全年業(yè)績。 業(yè)績穩(wěn)健
        的頭像 發(fā)表于 03-20 22:03 ?445次閱讀

        虛擬化軟件棧有哪些防御措施

        軟件棧的防御措施。 基礎防御措施 強化操作系統(tǒng)安全性:虛擬化軟件棧的基礎是操作系統(tǒng),因此首先需要確保操作系統(tǒng)的安全性??梢酝ㄟ^更新操作系統(tǒng)的補丁和
        的頭像 發(fā)表于 01-25 11:27 ?768次閱讀

        一次Rust重寫基礎軟件的實踐

        受到2022年“谷歌使用Rust重寫Android系統(tǒng)且所有Rust代碼的內存安全漏洞為零” [1] 的啟發(fā),最近筆者懷著濃厚的興趣也順應Rust 的潮流,嘗試著將一款C語言開發(fā)的基礎軟件轉化
        的頭像 發(fā)表于 01-25 11:21 ?643次閱讀

        AI加入軟件會更安全

        “變化即常態(tài)”是技術領域的主旋律。隨著新技術的飛速發(fā)展,軟件安全的復雜性也在不斷增加,不法分子總是能發(fā)掘出更隱蔽的手段進行網絡攻擊。雖然沒有人能夠準確斷言未來軟件安全的發(fā)展,但開發(fā)者們
        的頭像 發(fā)表于 01-25 09:40 ?707次閱讀

        軟件測試的7大原則,漏了幾條?

        軟件測試報告最需要注意的就是測試思考,而非測試執(zhí)行。而對軟件測試菜鳥來說,初入行,首先要知道軟件測試的7條原則,了解這些可以讓事倍功半。 1測試的不可窮盡原則 是的!任何產品不可能被
        發(fā)表于 01-18 09:39

        軟件測試活動有哪些?

        政府、事業(yè)單位、企業(yè)、學校等項目驗收) 3、系統(tǒng)測試報告(適用于軟件和系統(tǒng)集成項目,開發(fā)方發(fā)起并組織的項目驗收) 4、性能測試報告(適用于項目性能驗證、性能調優(yōu)、發(fā)現(xiàn)性能缺陷等應用場景) 5、安全
        發(fā)表于 01-08 11:11

        新能源車企扎堆曬年終成績單 比亞迪23年銷量302.44萬輛排第一

        新能源車企扎堆曬年終成績單 比亞迪23年銷量302.44萬輛排第一 2023已經過完了,年初各項考核指標達成了嗎?成績怎么樣?現(xiàn)在新能源車企扎堆曬
        的頭像 發(fā)表于 01-03 18:58 ?1629次閱讀
        新能源車企扎堆曬<b class='flag-5'>年終</b><b class='flag-5'>成績</b>單 比亞迪23年銷量302.44萬輛排第一