础滨驱动的设计应用
新思科技近日发布了《2021年软件漏洞:新思科技应用安全测试服务分析》报告(2021 Software Vulnerability Snapshot: An Analysis by Synopsys Application Security Testing Services, 以下简称为报告)。该报告分析了2020年对2,600个目标(例如软件或系统)进行的3,900次测试的数据。这些数据由新思科技安全顾问在评估中心为客户进行的测试汇编而成,包括渗透测试、动态应用安全测试和移动应用安全分析,模拟真实世界中攻击者的行为以测试正在运行的应用。
其中83%的测试目标是网页应用或系统,12%是移动应用,其余的则是源代码或网络系统/程序。测试的行业包括软件和互联网、金融服务、商业服务、制造业、媒体和娱乐业以及医疗保健。
新思科技软件质量与安全部门安全顾问副总裁Girish Janardhanudu表示:“现在,基于云的部署、现代技术框架和快速的交付速度正压迫安全部门做出更快的反应。由于市场上AppSec资源不足,各公司正在利用新思科技等提供的应用安全测试服务,以便灵活地扩展其安全测试。我们已经看到,在疫情期间,安全评估需求大幅增加。”
在3,900次测试中,97%的目标被发现存在某种形式的漏洞;30%的目标包含高风险漏洞;6%的目标存在极高风险漏洞。结果表明,安全测试的理想方法是利用广泛可用工具来帮助确保应用或系统没有漏洞。例如,28%的测试目标曾遭受过跨站点脚本(齿厂厂)攻击。这是影响飞别产应用的最普遍和最具破坏性的高/关键风险漏洞之"一。许多齿厂厂漏洞仅在应用运行时出现。