97%的被测应用存在安全漏洞，你的软件安全吗？

新思科技（Synopsys）近日发布了《2021年软件漏洞报告：新思科技应用安全测试服务分析》（2021 Software Vulnerability Snapshot: An Analysis by Synopsys Application Security Testing Services, 以下简称为报告）。

报告显示，在3,900次测试中，97%的被测目标存在某种形式的漏洞，其中30%属于高风险漏洞，6%属于严重风险漏洞。结果表明，安全测试的最佳方法是利用广泛可用的工具来帮助确保应用或系统没有漏洞。

28%的测试目标曾遭受过跨站脚本(XSS)攻击。这是影响web应用最普遍且最具破坏性的关键风险漏洞之一。许多XSS漏洞仅在应用运行时出现。

76%的被测目标存在OWASP（开放式Web应用程序安全项目）在2021年所披露的前十大漏洞。其中，应用程序和服务器配置错误占21%，所属类别为OWASP A05: 2021–安全配置错误类别。还有19%的漏洞与OWASP A01: 2021–访问控制失效类别有关。

移动应用程序的两大风险：不安全的数据存储和通信漏洞。在移动设备安全测试中，有80%漏洞与不安全的数据存储有关，攻击者既可以物理访问移动设备，也可以使用恶意软件进入设备。还有53%的漏洞与不安全的通信方式相关。

低风险漏洞也是攻击目标。测试发现，64%的漏洞被认为是较低、低、或中风险。对于这类漏洞，攻击者无法直接利用所发现的漏洞去访问系统或敏感数据，但这些漏洞也不是完全没有利用价值的。比如说，测试中发现有49%的服务器横幅能详细提供服务器名称、类型和版本号等信息，这些信息可被攻击者利用来进行有针对性的攻击。

对软件物料清单的需求迫切。在新思科技应用程序安全测试服务进行的渗透测试中，发现18%的系统在使用易受攻击的第三方库，这一漏洞属于OWASP在2021年发布的前十大漏洞中的A06: 2021–易受攻击和过时的组件类别。一般多数组织会混合使用私有代码、商业现成代码及开源组件来开发对外销售的或内部使用的软件。通常情况下，这些企业仅通过非正式清单来记录其软件正在使用哪些组件，以及这些组件的许可证、版本和补丁状态，有时甚至没有清单来记录这些内容。现在很多企业都在同时使用数百个应用程序或软件系统，并且拥有数百甚至数千个不同的第三方组件或开源组件，对这些企业来说，一份准确且实时更新的软件物料清单来有效追踪这些组件是非常有必要的。