ソフトウェア脆弱性スナップショット

web およびソフトウェア・アプリケーションによく見られる10の脆弱性に関する3年間の分析

概要

本「ソフトウェア脆弱性スナップショット」レポートを作成するにあたり、シノプシスサイバーセキュリティ・リサーチ・センターとシノプシスセキュリティ・テスト・サービスのコンサルタントは、商用ソフトウェア・システムおよびアプリケーションに対して3 年間にわたって実施したテストで得た匿名化データを使用しました。

シノプシスのテストにより、web およびソフトウェア・アプリケーションのセキュリティ上で重大な課題である、常習的に発生している脆弱性が明らかになりました。特に、最も多い脆弱性は以下に関連するものでした。

情報流出/ 漏えいとプライバシー
設定のミス
不十分なトランスポート層の保護

このテストは、脆弱なサードパーティ・ライブラリによってもたらされる目下の危険性を強調するとともに、ソフトウェアの90% 以上にオープンソースが使用されるというソフトウェア開発環境において、堅牢なソフトウェア・サプライチェーンのセキュリティの必要性を明らかにします。

調査した業種の内訳

ソフトウェアとインターネット、金融サービス/保険、ビジネス・サービス、製造業、医療など、16の業種を対象としています。

<p>Application security (AppSec) tests performed include penetration testing, dynamic application security testing (DAST), and mobile application security analyses—<b>all designed to probe running applications the way a real-world hacker would</b>.</p>

実施したテスト

アプリケーション・セキュリティ（AppSec）テストには、ペネトレーション・テスト、動的アプリケーション・セキュリティ・テスト（DAST）、モバイル・アプリケーション・セキュリティ・テスト（MAST）が含まれます。

<p>The report makes it clear why a full spectrum of AppSec testing is essential to managing software risk. While “transparent box” tools such as static application security testing (SAST) can shed light on security issues early in the software development life cycle, SAST cannot uncover runtime security vulnerabilities. Likewise, <b>several vulnerabilities cannot be detected by automated tools and need human oversight to uncover</b>.</p>

主な調査結果

この報告書は、ソフトウェアのリスクを管理するために、なぜ、あらゆる種類のアプリケーション・セキュリティ・テストが不可欠であるのかを明らかにしています。静的アプリケーション・セキュリティ・テスト（SAST）のようなテスト・ツールは、ソフトウェア開発ライフサイクルの早い段階でセキュリティ問題を明らかにすることができますが、SASTでは実行時の脆弱性を明らかにすることはできません。同様に、いくつかの脆弱性は、自動化されたツールでは検出できず、発見するためには人間の監視が必要です。

CyRCが3年間に実施した約12,000件のテストのうち

92％が脆弱性を発見
32%は深刻が高、あるいは緊急の脆弱性を発見
77%の脆弱性がOWASP Top 10のカテゴリーに分類された

レポートをダウンロード

ソフトウェア脆弱性スナップショット

web およびソフトウェア・アプリケーションによく見られる10の脆弱性に関する3年間の分析