首页|必读|视频|专访|运营|制造|监管|大数据|物联网|量子|元宇宙|博客|特约记者
手机|互联网|IT|5G|光通信|人工智能|云计算|芯片报告|智慧城市|移动互联网|会展
首页 >> IT >> 正文

新思科技最新报告显示过去两年发现的漏洞数量减少了14%

2023年12月5日 17:27  CCTIME飞象网  

飞象网讯 随着数字化转型全面展开,使用的代码量也随之急剧增加,同时也意味着攻击面也在增加。这给软件研发和安全团队带来了挑战。提前了解常见漏洞的现状和趋势可以帮助他们提前部署,防患未然。

新思科技(Synopsys, Nasdaq: SNPS)近日发布了《2023年软件漏洞快照》报告。新思科技网络安全研究中心 (CyRC) 分析的数据显示,目标应用中发现的漏洞显著减少——从 2020 年的 97% 下降到 2022 年的 83%——这是一个令人鼓舞的迹象,表明代码审查、自动化测试和持续集成有助于减少常见的编程错误。

该报告详细介绍了由新思科技安全测试服务运行的测试汇总出的三年数据(2020 年至 2022 年),测试目标包括 Web 应用、移动应用、网络系统和源代码。测试结合多种安全技术,包括渗透测试、动态应用安全测试 (DAST)、移动应用安全测试 (MAST) 和网络安全测试,旨在探测在真实环境不法分子会如何攻击正在运行的应用。

虽然行业采取积极措施应对软件漏洞,数据表明,依靠静态应用安全测试 (SAST) 等单一工具作为解决方案的方法已不再适用。例如,服务器配置错误平均占三年测试中发现的漏洞总数的 18%。如果没有结合多层安全措施,例如SAST识别编码缺陷、DAST检查正在运行的应用、软件组成分析(SCA)识别第三方组件引入的漏洞以及渗透测试识别内部测试可能遗漏的问题,这些类型的漏洞可能会无法检测出来。

新思科技质量与安全部门总经理Jason Schmitt表示:“多年来我们第一次看到软件中已知漏洞的数量有所下降,这给企业带来了新希望。他们严肃对待安全问题,并优先考虑对软件安全部署全面的策略,以持续确保安全。随着黑客变得越来越老练,我们比以往任何时候都更需要采取多层安全措施,以识别软件风险所在并保护企业免遭利用。”

《2023年软件漏洞快照》报告还发现:

Ÿ高危漏洞的可能性较小:过去三年平均有 92% 的测试发现了某种形式的漏洞。然而,这些测试中只有 27% 包含高危漏洞,6.2% 包含关键高危漏洞。

Ÿ信息泄露仍然是首要风险:2020年至2022 年发现的首要安全问题没有变化——信息泄露,这是敏感信息暴露给未经授权方时发生的重大安全问题。平均 19%的漏洞与信息泄露问题直接相关。

Ÿ跨站脚本攻击呈上升趋势:2022 年发现的所有高危漏洞中,有 19% 容易受到跨站脚本攻击。

Ÿ第三方软件风险增加:2022 年十大安全问题中,25% 的测试发现“使用易受攻击的第三方库”存在风险。如果您不知道正在使用的所有组件(包括第三方和开源组件)的版本,那么软件可能容易受到攻击。

点击这里,下载《2023年软件漏洞快照》报告。

编 辑:章芳
声明:刊载本文目的在于传播更多行业信息,本站只提供参考并不构成任何投资及应用建议。如网站内容涉及作品版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容。本站联系电话为86-010-87765777,邮件后缀为#cctime.com,冒充本站员工以任何其他联系方式,进行的“内容核实”、“商务联系”等行为,均不能代表本站。本站拥有对此声明的最终解释权。
相关新闻              
 
人物
工信部张云明:大部分国家新划分了中频段6G频谱资源
精彩专题
专题丨“汛”速出动 共筑信息保障堤坝
2023MWC上海世界移动通信大会
中国5G商用四周年
2023年中国国际信息通信展览会
CCTIME推荐
关于我们 | 广告报价 | 联系我们 | 隐私声明 | 本站地图
CCTIME飞象网 CopyRight © 2007-2024 By CCTIME.COM
京ICP备08004280号-1  电信与信息服务业务经营许可证080234号 京公网安备110105000771号
公司名称: 北京飞象互动文化传媒有限公司
未经书面许可,禁止转载、摘编、复制、镜像