一项新的研究表明,几乎每个应用程序都至少有一个影响安全的漏洞或配置错误,四分之一的应用程序测试发现了一个高度或严重的漏洞。
根据软件和硬件工具集团 Synopsys 今天发布的新软件漏洞快照 2022 报告中的发现,薄弱的 SSL 和 TLS 配置、缺少内容安全策略 (CSP) 标头以及通过服务器横幅的信息泄漏在具有安全影响的软件问题列表中名列前茅. 虽然许多错误配置和漏洞被认为是中等或较低的严重程度,但至少有 25% 被评为高度或严重严重。
Synopsys 软件完整性小组的研究员 Ray Kelly 说,配置问题通常被放在不太严重的桶中,但配置和编码问题同样具有风险。
“这实际上只是指出,[虽然]组织可能在执行静态扫描以减少编码漏洞数量方面做得很好,但他们没有考虑配置,因为这可能更困难,”他说。 “不幸的是,静态应用程序安全测试 (SAST) 扫描无法执行配置检查,因为 [他们] 不了解将部署代码的生产环境。”
这些数据证明了使用多种工具分析软件漏洞和错误配置的好处。
例如,渗透测试检测到 77% 的弱 SSL/TLS 配置问题,而动态应用程序安全测试 (DAST) 在 81% 的测试中检测到该问题。 这两种技术,加上移动应用程序安全测试 (MAST),导致在 82% 的测试中发现了这个问题, 根据 Synopsys 的报告.
其他应用程序安全公司也记录了类似的结果。 例如,在过去十年中,应用程序被扫描的次数增加了三倍,而每个应用程序被扫描的频率增加了 20 倍,Veracode 在 XNUMX 月份的“软件安全状况”报告中指出. 虽然该报告发现 77% 的第三方库在问题报告三个月后仍未消除已披露的漏洞,但修补代码的应用速度提高了三倍。
Veracode 表示,同时使用动态和静态扫描的软件公司可以在 24 天内更快地修复一半的缺陷。
“持续测试和集成,包括管道中的安全扫描,正在成为常态,” 该公司当时在博客文章中表示.
不只是 SAST,不只是 DAST
Synopsys 发布了来自各种不同测试的数据,每个测试都有相似的头号违规者。 例如,加密技术的薄弱配置——即安全套接字层 (SSL) 和传输层安全性 (TLS)——在静态、动态和移动应用程序安全测试中名列前茅。
然而,这些问题在列表中进一步分化。 渗透测试在四分之一的应用程序中发现了弱密码策略,在 22% 的应用程序中发现了跨站点脚本,而 DAST 在 38% 的测试中发现了缺乏足够会话超时的应用程序,在 30% 的测试中发现了容易受到点击劫持的应用程序。
Synopsys 的 Kelly 表示,静态和动态测试以及软件组合分析 (SCA) 都各有优势,应该结合使用,以最大程度地检测出潜在的错误配置和漏洞。
“话虽如此,整体方法需要时间、资源和金钱,因此这对许多组织来说可能不可行,”他说。 “花时间在流程中设计安全性还可以帮助发现和消除尽可能多的漏洞——无论它们是什么类型——从而使安全性变得主动并降低风险。”
总体而言,该公司从 4,400 多个程序的近 2,700 次测试中收集了数据。 跨站点脚本是最危险的漏洞,占已发现漏洞的 22%,而 SQL 注入是最严重的漏洞类别,占 4%。
软件供应链的危险
开源软件包括 近 80% 的代码库,不足为奇的是,81% 的代码库至少存在一个漏洞,另外 85% 的代码库有一个已经过时四年的开源组件。
然而,Synopsys 发现,尽管存在这些担忧,但供应链安全和开源软件组件中的漏洞仅占问题的四分之一左右。 报告称,在 21% 的渗透测试和 27% 的静态分析测试中发现了使用中的易受攻击的第三方库类别的安全漏洞。
Kelly 说,软件组件中的漏洞低于预期的部分原因可能是因为软件组合分析 (SCA) 得到了更广泛的应用。
“这些类型的问题可以在软件开发生命周期 (SDLC) 的早期阶段发现,例如开发和 DevOps 阶段,这减少了将其投入生产的数量,”他说。
