您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
[調研]95%的應用都存在錯誤配置和漏洞
各種滲透測試和應用安全測試發(fā)現諸多安全問題,而加密弱配置和安全標頭缺失是其中首要問題。
新發(fā)布的研究報告顯示,幾乎每個應用程序都存在至少一個危害安全的漏洞或錯誤配置,四分之一的應用測試會發(fā)現高危漏洞。
11月16日,軟件及硬件工具集團Synopsys發(fā)布《2022年軟件漏洞概覽》報告,揭示SSL和TLS弱配置、內容安全策略(CSP)標頭缺失,以及服務器歡迎語(banner)導致信息泄漏是最具安全影響的幾個軟件問題。盡管很多錯誤配置和漏洞都被認為是中低危級別,但至少25%是高危的。
Synopsys軟件完整性小組成員Ray Kelly稱,配置問題常被歸為低危類別,但配置和編碼漏洞同樣危險。
“這不過是指出,盡管企業(yè)在執(zhí)行靜態(tài)掃描來減少編碼漏洞數量方面可能做得不錯,但他們并未將配置納入考量,因為這可能更難?!彼硎?,“可惜,由于不知道代碼會被部署在何種生產環(huán)境,靜態(tài)應用安全測試(SAST)掃描無法進行配置檢查。”
報告中的數據表明了使用多種工具分析軟件漏洞和錯誤配置的好處。
比如說,滲透測試檢測出了77%的SSL/TLS弱配置問題,而動態(tài)應用安全測試(DAST)在81%的測試中檢測到了該問題。Synopsys報告顯示,這兩種技術,再加上移動應用安全測試(MAST),在82%的測試中發(fā)現了該漏洞。
常見應用漏洞
其他應用安全公司也得到了類似的結果。例如,Veracode在其2月發(fā)布的《軟件安全狀況》報告中寫道,過去十年里被掃描的應用數量增長了三倍,且每個應用遭掃描的頻率增高了20倍。不過,雖然77%的第三方庫在漏洞披露三個月后仍未徹底清除,已修復代碼的應用速度倒是提高了三倍。
Veracode表示,同時使用動態(tài)和靜態(tài)掃描的軟件公司修復半數缺陷的速度加快了24天。
該公司在隨報告發(fā)布的博客文章中寫道:“持續(xù)測試和集成包括各流程中的安全掃描,如今漸成常態(tài)?!?/span>
不僅僅是SAST和DAST
Synopsys發(fā)布了一系列不同測試中獲得的數據,每種測試都有各自最常檢出的問題。比如說,安全套接字層(SSL)和傳輸層安全(TLS)等加密技術弱配置,就獨占靜態(tài)、動態(tài)和移動應用安全測試檢出問題鰲頭。
不過,其他問題的流向就沒那么集中了。滲透測試在四分之一的應用中發(fā)現了弱密碼策略,在22%的應用中發(fā)現了跨站腳本;DAST則在38%的測試中發(fā)現應用缺乏足夠的會話超時機制,在30%的測試中檢出應用難抵點擊劫持攻擊。
靜態(tài)測試、動態(tài)測試和軟件成分分析(SCA)各有優(yōu)勢,應配合使用,從而提升發(fā)現潛在錯誤配置和漏洞的機會。
“盡管如此,整體方法需要時間、資源和資金,所以很多機構可能無法實行?;〞r間將安全編入流程也有助于盡可能多地發(fā)現并清除各類漏洞,形成主動安全,降低風險。”
Synopsys對超過2700個程序進行了4400次測試。收集的數據顯示,跨站腳本是最高風險漏洞,占所發(fā)現漏洞的22%,SQL注入是最關鍵漏洞類型,占4%。
軟件供應鏈危險
鑒于開源軟件構成了近80%的代碼庫,81%的代碼庫含有至少一個漏洞且85%包含過時四年的開源組件也就不足為奇了。
不過,Synopsys發(fā)現,盡管存在上述隱患,供應鏈安全和開源軟件組件中的漏洞僅占問題的四分之一。報告稱,在21%的滲透測試和27%的靜態(tài)分析測試中發(fā)現了在用脆弱第三方庫。
軟件組件中漏洞數量不及預期的部分原因可能是軟件成分分析(SCA)的推廣。
“在軟件開發(fā)生命周期(SDLC)的早期階段,例如開發(fā)和DevOps階段,就可以發(fā)現這些類型的漏洞,這就減少了進入生產環(huán)境的漏洞數量?!?/span>
文章來源:數世咨詢