各種滲透測(cè)試和應(yīng)用安全測(cè)試發(fā)現(xiàn)諸多安全問(wèn)題，而加密弱配置和安全標(biāo)頭缺失是其中首要問(wèn)題。

新發(fā)布的研究報(bào)告顯示，幾乎每個(gè)應(yīng)用程序都存在至少一個(gè)危害安全的漏洞或錯(cuò)誤配置，四分之一的應(yīng)用測(cè)試會(huì)發(fā)現(xiàn)高危漏洞。

11月16日，軟件及硬件工具集團(tuán)Synopsys發(fā)布《2022年軟件漏洞概覽》報(bào)告，揭示SSL和TLS弱配置、內(nèi)容安全策略(CSP)標(biāo)頭缺失，以及服務(wù)器歡迎語(yǔ)(banner)導(dǎo)致信息泄漏是最具安全影響的幾個(gè)軟件問(wèn)題。盡管很多錯(cuò)誤配置和漏洞都被認(rèn)為是中低危級(jí)別，但至少25%是高危的。

Synopsys軟件完整性小組成員Ray Kelly稱(chēng)，配置問(wèn)題常被歸為低危類(lèi)別，但配置和編碼漏洞同樣危險(xiǎn)。

“這不過(guò)是指出，盡管企業(yè)在執(zhí)行靜態(tài)掃描來(lái)減少編碼漏洞數(shù)量方面可能做得不錯(cuò)，但他們并未將配置納入考量，因?yàn)檫@可能更難?！彼硎?，“可惜，由于不知道代碼會(huì)被部署在何種生產(chǎn)環(huán)境，靜態(tài)應(yīng)用安全測(cè)試(SAST)掃描無(wú)法進(jìn)行配置檢查?！?/span>

報(bào)告中的數(shù)據(jù)表明了使用多種工具分析軟件漏洞和錯(cuò)誤配置的好處。

比如說(shuō)，滲透測(cè)試檢測(cè)出了77%的SSL/TLS弱配置問(wèn)題，而動(dòng)態(tài)應(yīng)用安全測(cè)試(DAST)在81%的測(cè)試中檢測(cè)到了該問(wèn)題。Synopsys報(bào)告顯示，這兩種技術(shù)，再加上移動(dòng)應(yīng)用安全測(cè)試(MAST)，在82%的測(cè)試中發(fā)現(xiàn)了該漏洞。

常見(jiàn)應(yīng)用漏洞

其他應(yīng)用安全公司也得到了類(lèi)似的結(jié)果。例如，Veracode在其2月發(fā)布的《軟件安全狀況》報(bào)告中寫(xiě)道，過(guò)去十年里被掃描的應(yīng)用數(shù)量增長(zhǎng)了三倍，且每個(gè)應(yīng)用遭掃描的頻率增高了20倍。不過(guò)，雖然77%的第三方庫(kù)在漏洞披露三個(gè)月后仍未徹底清除，已修復(fù)代碼的應(yīng)用速度倒是提高了三倍。

Veracode表示，同時(shí)使用動(dòng)態(tài)和靜態(tài)掃描的軟件公司修復(fù)半數(shù)缺陷的速度加快了24天。

該公司在隨報(bào)告發(fā)布的博客文章中寫(xiě)道：“持續(xù)測(cè)試和集成包括各流程中的安全掃描，如今漸成常態(tài)?！?/span>

不僅僅是SAST和DAST

Synopsys發(fā)布了一系列不同測(cè)試中獲得的數(shù)據(jù)，每種測(cè)試都有各自最常檢出的問(wèn)題。比如說(shuō)，安全套接字層(SSL)和傳輸層安全(TLS)等加密技術(shù)弱配置，就獨(dú)占靜態(tài)、動(dòng)態(tài)和移動(dòng)應(yīng)用安全測(cè)試檢出問(wèn)題鰲頭。

不過(guò)，其他問(wèn)題的流向就沒(méi)那么集中了。滲透測(cè)試在四分之一的應(yīng)用中發(fā)現(xiàn)了弱密碼策略，在22%的應(yīng)用中發(fā)現(xiàn)了跨站腳本;DAST則在38%的測(cè)試中發(fā)現(xiàn)應(yīng)用缺乏足夠的會(huì)話(huà)超時(shí)機(jī)制，在30%的測(cè)試中檢出應(yīng)用難抵點(diǎn)擊劫持攻擊。

靜態(tài)測(cè)試、動(dòng)態(tài)測(cè)試和軟件成分分析(SCA)各有優(yōu)勢(shì)，應(yīng)配合使用，從而提升發(fā)現(xiàn)潛在錯(cuò)誤配置和漏洞的機(jī)會(huì)。

“盡管如此，整體方法需要時(shí)間、資源和資金，所以很多機(jī)構(gòu)可能無(wú)法實(shí)行?；〞r(shí)間將安全編入流程也有助于盡可能多地發(fā)現(xiàn)并清除各類(lèi)漏洞，形成主動(dòng)安全，降低風(fēng)險(xiǎn)?！?/span>

Synopsys對(duì)超過(guò)2700個(gè)程序進(jìn)行了4400次測(cè)試。收集的數(shù)據(jù)顯示，跨站腳本是最高風(fēng)險(xiǎn)漏洞，占所發(fā)現(xiàn)漏洞的22%，SQL注入是最關(guān)鍵漏洞類(lèi)型，占4%。

軟件供應(yīng)鏈危險(xiǎn)

鑒于開(kāi)源軟件構(gòu)成了近80%的代碼庫(kù)，81%的代碼庫(kù)含有至少一個(gè)漏洞且85%包含過(guò)時(shí)四年的開(kāi)源組件也就不足為奇了。

不過(guò)，Synopsys發(fā)現(xiàn)，盡管存在上述隱患，供應(yīng)鏈安全和開(kāi)源軟件組件中的漏洞僅占問(wèn)題的四分之一。報(bào)告稱(chēng)，在21%的滲透測(cè)試和27%的靜態(tài)分析測(cè)試中發(fā)現(xiàn)了在用脆弱第三方庫(kù)。

軟件組件中漏洞數(shù)量不及預(yù)期的部分原因可能是軟件成分分析(SCA)的推廣。

“在軟件開(kāi)發(fā)生命周期(SDLC)的早期階段，例如開(kāi)發(fā)和DevOps階段，就可以發(fā)現(xiàn)這些類(lèi)型的漏洞，這就減少了進(jìn)入生產(chǎn)環(huán)境的漏洞數(shù)量?！?/span>

文章來(lái)源：數(shù)世咨詢(xún)