对三年来10类最常见网络和软件应用漏洞的分析
为了制作《软件漏洞快照》报告,新思科技网络安全研究中心 (CyRC)的研究人员和新思科技安全测试服务部的顾问使用了商业软件系统和应用测试三年的匿名数据。
新思科技测试发现了仍对网络和软件应用安全造成重大威胁的已知漏洞,尤其是与以下各项相关的高危漏洞:
这些测试还凸显出易受攻击的第三方库带来的持续危险,以及软件开发环境对强大软件供应链安全的需求 — 在软件开发中,超过90%的软件中包含开源代码。
该报告涉及16个垂直行业,包括软件和互联网、金融服务、保险、商业服务、制造业、媒体和娱乐以及医疗保健。
该报告清楚地解释了为何说全方位的AppSec测试对于管理软件风险至关重要。虽然静态应用安全测试 (SAST) 等测试工具可以在软件开发生命周期的早期揭示安全问题,但却无法发现运行时漏洞。同样,某些漏洞是自动测试工具无法检测到的,需要人工监督才能发现。
该报告清楚地解释了为何说全方位的AppSec测试对于管理软件风险至关重要。虽然静态应用安全测试 (SAST) 等测试工具可以在软件开发生命周期的早期揭示安全问题,但却无法发现运行时漏洞。同样,某些漏洞是自动测试工具无法检测到的,需要人工监督才能发现。
通过长达三年的大约1.2万次测试,CyRC发现:
对三年来10类最常见的网络和软件应用漏洞的分析