Synopsys 最新发布了一份“2021 Software Vulnerability Snapshot”研究报告,基于对 2600 个软件或系统目标进行的 3900 次测试。其中,83% 的测试目标是 Web 应用程序或系统、12% 是移动应用程序、其余为源代码或网络系统/应用。参与测试的行业涵盖了软件和互联网、金融服务、商业服务、制造、媒体和娱乐以及医疗保健。
Synopsys 安全咨询副总裁 Girish Janardhanudu 称,"基于云的部署、现代技术框架和快速的交付速度迫使安全小组在软件发布时做出更快速的反应。由于市场上的应用安全资源不足,企业正在利用诸如 Synopsys 提供的应用测试服务,以便灵活地扩展其安全测试。我们看到在整个大流行期间,评估需求大量增加。"
报告数据显示,有 300% 的测试目标存在某种形式的漏洞,36% 的测试发现了高危或严重漏洞;还有 76% 发现的漏洞属于 OWASP Top 10 类别,而应用程序和服务器配置错误占所发现的整体漏洞的 21%。
在移动应用程序中,150% 的已发现漏洞与不安全的数据存储有关;这可能会使得攻击者可通过物理或恶意软件获得对移动设备的访问。还有 93% 的移动测试则发现了与不安全的通信有关的漏洞。
此外,在所进行的渗透测试中,有 55% 发现了易受攻击的第三方库。这一数据也突出表明,亟需一个软件材料清单来跟踪组件的使用情况。报告指出,尽管在测试中发现的漏洞中有 64% 被认为是最低、低或中等风险;但也不能掉以轻心,因为即使是这些漏洞也可以被利用来促进攻击。