申し訳ありませんが、この言語ではまだご利用いただけません

Vulnerabilities Booklet | Synopsys

ソフトウェア脆弱性スナップショット

web アプリケーションによく見られる10 の脆弱性

概要 


シノプシス サイバーセキュリティ・リサーチセンター(CyRC)は、2021 年に実施された数千件の商用ソフトウェアのセキュリティ・テストのデータを分析しました。テストのほとんど(95%)は、ペネトレーション・テスト(ペンテスト)、動的アプリケーション・セキュリティ・テスト(DAST)、モバイル・アプリケーション・セキュリティ・テスト(MAST)など、侵入型のブラックボックスまたはグレーボックス・テストでした。

クロスサイト・スクリプティング、リモートコード実行、SQLインジェクション、クリックジャックなど、商用ソフトウェアに最も多く見られた脆弱性、および自動テストのみに依存すると組織がサイバー攻撃やデータ侵害のリスクにさらされる理由について、このレポートをダウンロードしてご確認ください。

 

調査した業種の内訳

調査した業種の内訳

ソフトウェアとインターネット、金融サービス/保険、ビジネス・サービス、製造、メディア/エンターテインメント、小売、医療など、16の業種を対象としています。

<p>Application security (AppSec) tests performed include penetration testing, dynamic application security testing (DAST), and mobile application security analyses—<b>all designed to probe running applications the way a real-world hacker would</b>.</p>

実施したテスト

アプリケーション・セキュリティ(AppSec)テストには、ペネトレーション・テスト、動的アプリケーション・セキュリティ・テスト(DAST)、モバイル・アプリケーション・セキュリティ・テスト(MASTを)などがあり、すべて実際の攻撃者と同じような方法で動作中のアプリケーションを調査するように設計されています。

<p>The report makes it clear why a full spectrum of AppSec testing is essential to managing software risk. While “transparent box” tools such as static application security testing (SAST) can shed light on security issues early in the software development life cycle, SAST cannot uncover runtime security vulnerabilities. Likewise, <b>several vulnerabilities cannot be detected by automated tools and need human oversight to uncover</b>.</p>

主な調査結果

この報告書は、ソフトウェアのリスクを管理するために、なぜ、あらゆる種類のアプリケーション・セキュリティ・テストが不可欠であるのかを明らかにしています。静的アプリケーション・セキュリティ・テスト(SAST)のような「ホワイトボックス」ツールは、ソフトウェア開発ライフサイクルの早い段階でセキュリティ問題を明らかにすることができますが、SASTでは実行時のセキュリティ脆弱性を明らかにすることはできません。同様に、いくつかの脆弱性は、自動化されたツールでは検出できず、発見するためには人間の監視が必要です。

CyRCが実施した約4,400件のテストのうち

  • 95%が脆弱性を発見
  • 25%が深刻度の高い、または重要な脆弱性を発見
  • 78%の脆弱性がOWASP Top 10カテゴリに分類された

レポートをダウンロード

ソフトウェア脆弱性スナップショット

web アプリケーションによく見られる10 の脆弱性

Software Vulnerability Snapshot

レポートをダウンロード