• <input id="u42io"><s id="u42io"></s></input>
    <blockquote id="u42io"></blockquote>
  • 搜索
    搜索
    新聞中心
    NEWS CENTER

    新聞中心

    Classification

    免費咨詢熱線

    /
    /
    /
    新思科技最新報告顯示97%的應用存在漏洞 其中有36%正受嚴重或高風險漏洞的影響

    新思科技最新報告顯示97%的應用存在漏洞 其中有36%正受嚴重或高風險漏洞的影響

    • 分類:行業新聞
    • 作者:
    • 來源:
    • 發布時間:2022-03-26
    • 訪問量:0

    【概要描述】【賽迪網訊】在數字經濟時代,軟件是大多數企業與客戶互動和提供客戶支持的主要方式。如果企業所銷售的軟件或包含嵌入式軟件的產品出現了影響產品使用的軟件安全、合規或質量問題,將給企業帶來難以承受的影響。即使是不直接參與軟件或軟件驅動產品銷售的企業,也會受到軟件質量和安全問題的影響。例如,大多數的工資單、賬單、應收賬款、銷售跟蹤和客戶記錄的管理系統都是由軟件驅動的。軟件控制生產、管理庫存、指揮倉儲活動、并運行著確保正常業務運營的分銷系統。因此,對軟件安全的了解及應用安全測試須更加全面。

    新思科技最新報告顯示97%的應用存在漏洞 其中有36%正受嚴重或高風險漏洞的影響

    【概要描述】【賽迪網訊】在數字經濟時代,軟件是大多數企業與客戶互動和提供客戶支持的主要方式。如果企業所銷售的軟件或包含嵌入式軟件的產品出現了影響產品使用的軟件安全、合規或質量問題,將給企業帶來難以承受的影響。即使是不直接參與軟件或軟件驅動產品銷售的企業,也會受到軟件質量和安全問題的影響。例如,大多數的工資單、賬單、應收賬款、銷售跟蹤和客戶記錄的管理系統都是由軟件驅動的。軟件控制生產、管理庫存、指揮倉儲活動、并運行著確保正常業務運營的分銷系統。因此,對軟件安全的了解及應用安全測試須更加全面。

    • 分類:行業新聞
    • 作者:
    • 來源:
    • 發布時間:2022-03-26
    • 訪問量:0
    詳情

    【賽迪網訊】在數字經濟時代,軟件是大多數企業與客戶互動和提供客戶支持的主要方式。如果企業所銷售的軟件或包含嵌入式軟件的產品出現了影響產品使用的軟件安全、合規或質量問題,將給企業帶來難以承受的影響。即使是不直接參與軟件或軟件驅動產品銷售的企業,也會受到軟件質量和安全問題的影響。例如,大多數的工資單、賬單、應收賬款、銷售跟蹤和客戶記錄的管理系統都是由軟件驅動的。軟件控制生產、管理庫存、指揮倉儲活動、并運行著確保正常業務運營的分銷系統。因此,對軟件安全的了解及應用安全測試須更加全面。

     

    新思科技最新報告顯示97%的應用存在漏洞 其中有36%正受嚴重或高風險漏洞的影響

     

    新思科技(Synopsys, Inc.,Nasdaq: SNPS)近日發布了《2021年軟件漏洞快照:新思科技應用安全測試服務分析》報告(2021 Software Vulnerability Snapshot: An Analysis by Synopsys Application Security Testing Services, 以下簡稱為報告)。該報告分析了2020年對2,600個目標(即軟件或系統)進行的3,900次測試的數據。這些數據由新思科技安全顧問在評估中心為客戶進行的測試匯編而成,包括滲透測試、動態應用安全測試和移動應用安全分析,模擬真實世界中攻擊者的行為以測試正在運行的應用。

    其中83%的測試目標是Web應用,12%是移動應用,其余的則是源代碼或網絡系統/應用。測試的行業包括軟件和互聯網、金融服務、商業服務、制造業、媒體和娛樂業以及醫療健康行業。

    新思科技軟件質量與安全部門安全顧問副總裁Girish Janardhanudu表示:“現在,基于云的部署、現代技術框架和快速的交付速度正迫使安全部門做出更快的反應。由于市場上AppSec資源不足,各企業正在利用新思科技等提供的應用安全測試服務,以便靈活地擴展其安全測試。我們已經看到,在疫情期間,安全評估需求大幅增加。”

    在3,900次測試中,97%的被測目標被發現存在某種形式的漏洞;其中30%的目標是高風險漏洞;6%是嚴重風險漏洞。結果表明,安全測試的最佳方法是利用廣泛可用工具來幫助確保應用或系統沒有漏洞。例如,28%的測試目標曾遭受過跨站腳本(XSS)攻擊。這是影響web應用最普遍和最具破壞性的高/關鍵風險漏洞之一。許多XSS漏洞僅在應用運行時出現。

    報告的其他重點:

    在76%的被測目標中發現了2021年OWASP Top 10的漏洞。應用程序和服務器配置錯誤占測試中發現的全部漏洞的21%,代表性的有OWASP A05:2021 – 安全配置錯誤類別。另外,發現的總漏洞中有19%與OWASP A01:2021 – 訪問控制失效類別有關。

    不安全的數據存儲和通信漏洞困擾著移動應用程序。在移動測試發現的漏洞中,有80%與不安全的數據存儲有關。這些漏洞使得攻擊者可以通過物理方式(即訪問被盜設備)或者惡意軟件訪問移動設備。移動測試發現的漏洞中還有53%與不安全的通信方式相關。

    即使是低風險漏洞也可能被利用來促成攻擊。通過測試發現,其中64%的漏洞被認為是較低、低或中等風險。也就是說,攻擊者無法直接利用所發現的漏洞去訪問系統或敏感數據。盡管如此,找出這些漏洞并非無用之功,因為即使是低風險漏洞也可以被利用來促成攻擊。例如,測試中發現有49%的服務器橫幅能詳細提供服務器名稱、類型和版本號等信息,可能有助于攻擊者對特定的技術堆棧發動有針對性的攻擊。

    對軟件物料清單的迫切需求。值得注意的是,在新思科技應用程序安全測試服務進行的滲透測試中,發現了有18%的系統在使用易受攻擊的第三方庫。這與2021年OWASP TOP10漏洞里的A06:2021 – 易受攻擊和過時的組件類別相一致。大多數組織一般會混合使用私有代碼、商業現成代碼和開源組件來開發對外銷售或內部使用的軟件。通常情況下,這些企業僅通過非正式清單或甚至沒有清單,來記錄其軟件正在使用哪些組件,以及這些組件的許可證、版本和補丁狀態。由于許多企業在使用數百個應用程序或軟件系統,可能擁有數百至數千個不同的第三方和開源組件,因此迫切需要一份準確時新的軟件物料清單(SBOM)來有效追蹤這些組件。

    掃二維碼用手機看

    相關新聞

    messages
    TOP
    在線留言
    X
    img
    COPYRIGHT ? 2022 廣東七洲科技股份有限公司
    網站建設:中企動力 廣州 SEO
    亚洲欧美黑人猛交群_国产精品视频一区_天天躁日日躁狠狠躁性色AVQ_在线A毛片免费视频观看_东京热AV人妻无码专区