在数字经济时代,软件是大多数企业与客户互动和提供客户支持的主要方式如果企业所销售的软件或包含嵌入式软件的产品出现了影响产品使用的软件安全,合规或质量问题,将给企业带来难以承受的影响即使是不直接参与软件或软件驱动产品销售的企业,也会受到软件质量和安全问题的影响例如,大多数的工资单,账单,应收账款,销售跟踪和客户记录的管理系统都是由软件驱动的软件控制生产,管理库存,指挥仓储活动,并运行着确保正常业务运营的分销系统因此,对软件安全的了解及应用安全测试须更加全面
新思科技最近几天发布了《2021年软件漏洞快照:新思科技应用安全测试服务分析》报告该报告分析了2020年对2,600个目标进行的3,900次测试的数据这些数据由新思科技安全顾问在评估中心为客户进行的测试汇编而成,包括渗透测试,动态应用安全测试和移动应用安全分析,模拟真实世界中攻击者的行为以测试正在运行的应用
其中83%的测试目标是Web应用,12%是移动应用,其余的则是源代码或网络系统/应用测试的行业包括软件和互联网,金融服务,商业服务,制造业,媒体和娱乐业以及医疗健康行业
新思科技软件质量与安全部门安全顾问副总裁Girish Janardhanudu表示:现在,基于云的部署,现代技术框架和快速的交付速度正迫使安全部门做出更快的反应由于市场上AppSec资源不足,各企业正在利用新思科技等提供的应用安全测试服务,以便灵活地扩展其安全测试我们已经看到,在疫情期间,安全评估需求大幅增加
在3,900次测试中,97%的被测目标被发现存在某种形式的漏洞,其中30%的目标是高风险漏洞,6%是严重风险漏洞结果表明,安全测试的最佳方法是利用广泛可用工具来帮助确保应用或系统没有漏洞例如,28%的测试目标曾遭受过跨站脚本攻击这是影响web应用最普遍和最具破坏性的高/关键风险漏洞之一许多XSS漏洞仅在应用运行时出现
报告的其他重点:
middot,在76%的被测目标中发现了2021年OWASP Top 10的漏洞应用程序和服务器配置错误占测试中发现的全部漏洞的21%,代表性的有OWASP A05:2021 ndash, 安全配置错误类别另外,发现的总漏洞中有19%与OWASP A01:2021 ndash, 访问控制失效类别有关
middot,不安全的数据存储和通信漏洞困扰着移动应用程序在移动测试发现的漏洞中,有80%与不安全的数据存储有关这些漏洞使得攻击者可以通过物理方式或者恶意软件访问移动设备移动测试发现的漏洞中还有53%与不安全的通信方式相关
middot,即使是低风险漏洞也可能被利用来促成攻击通过测试发现,其中64%的漏洞被认为是较低,低或中等风险也就是说,攻击者无法直接利用所发现的漏洞去访问系统或敏感数据尽管如此,找出这些漏洞并非无用之功,因为即使是低风险漏洞也可以被利用来促成攻击例如,测试中发现有49%的服务器横幅能详细提供服务器名称,类型和版本号等信息,可能有助于攻击者对特定的技术堆栈发动有针对性的攻击
TSMC设计基础设施管理部副总经理李硕说;通过多年的紧密合作,新思科技的设计平台解决方案获得了TSMC最先进技术的认证,帮助客户实现PPA优化,尤其是在下一代HPC,移动,5G和AI设计方面,将帮助客户快速将创新产品推向市场。
郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。