加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長(zhǎng)期合作伙伴
立即加入
  • 正文
  • 推薦器件
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請(qǐng)入駐 產(chǎn)業(yè)圖譜

新思科技最新報(bào)告顯示過(guò)去兩年發(fā)現(xiàn)的漏洞數(shù)量減少了14%

2023/12/05
1942
閱讀需 4 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

隨著數(shù)字化轉(zhuǎn)型全面展開(kāi),使用的代碼量也隨之急劇增加,同時(shí)也意味著攻擊面也在增加。這給軟件研發(fā)和安全團(tuán)隊(duì)帶來(lái)了挑戰(zhàn)。提前了解常見(jiàn)漏洞的現(xiàn)狀和趨勢(shì)可以幫助他們提前部署,防患未然。

新思科技(Synopsys, Nasdaq: SNPS)近日發(fā)布了《2023年軟件漏洞快照》報(bào)告。新思科技網(wǎng)絡(luò)安全研究中心 (CyRC) 分析的數(shù)據(jù)顯示,目標(biāo)應(yīng)用中發(fā)現(xiàn)的漏洞顯著減少——從 2020 年的 97% 下降到 2022 年的 83%——這是一個(gè)令人鼓舞的跡象,表明代碼審查、自動(dòng)化測(cè)試和持續(xù)集成有助于減少常見(jiàn)的編程錯(cuò)誤。

該報(bào)告詳細(xì)介紹了由新思科技安全測(cè)試服務(wù)運(yùn)行的測(cè)試匯總出的三年數(shù)據(jù)(2020 年至 2022 年),測(cè)試目標(biāo)包括 Web 應(yīng)用、移動(dòng)應(yīng)用、網(wǎng)絡(luò)系統(tǒng)和源代碼。測(cè)試結(jié)合多種安全技術(shù),包括滲透測(cè)試、動(dòng)態(tài)應(yīng)用安全測(cè)試 (DAST)、移動(dòng)應(yīng)用安全測(cè)試 (MAST) 和網(wǎng)絡(luò)安全測(cè)試,旨在探測(cè)在真實(shí)環(huán)境不法分子會(huì)如何攻擊正在運(yùn)行的應(yīng)用。

雖然行業(yè)采取積極措施應(yīng)對(duì)軟件漏洞,數(shù)據(jù)表明,依靠靜態(tài)應(yīng)用安全測(cè)試 (SAST) 等單一工具作為解決方案的方法已不再適用。例如,服務(wù)器配置錯(cuò)誤平均占三年測(cè)試中發(fā)現(xiàn)的漏洞總數(shù)的 18%。如果沒(méi)有結(jié)合多層安全措施,例如SAST識(shí)別編碼缺陷、DAST檢查正在運(yùn)行的應(yīng)用、軟件組成分析(SCA)識(shí)別第三方組件引入的漏洞以及滲透測(cè)試識(shí)別內(nèi)部測(cè)試可能遺漏的問(wèn)題,這些類型的漏洞可能會(huì)無(wú)法檢測(cè)出來(lái)。

新思科技質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示:“多年來(lái)我們第一次看到軟件中已知漏洞的數(shù)量有所下降,這給企業(yè)帶來(lái)了新希望。他們嚴(yán)肅對(duì)待安全問(wèn)題,并優(yōu)先考慮對(duì)軟件安全部署全面的策略,以持續(xù)確保安全。隨著黑客變得越來(lái)越老練,我們比以往任何時(shí)候都更需要采取多層安全措施,以識(shí)別軟件風(fēng)險(xiǎn)所在并保護(hù)企業(yè)免遭利用?!?/p>

《2023年軟件漏洞快照》報(bào)告還發(fā)現(xiàn):

?高危漏洞的可能性較?。哼^(guò)去三年平均有 92% 的測(cè)試發(fā)現(xiàn)了某種形式的漏洞。然而,這些測(cè)試中只有 27% 包含高危漏洞,6.2% 包含關(guān)鍵高危漏洞。

?信息泄露仍然是首要風(fēng)險(xiǎn):2020年至2022 年發(fā)現(xiàn)的首要安全問(wèn)題沒(méi)有變化——信息泄露,這是敏感信息暴露給未經(jīng)授權(quán)方時(shí)發(fā)生的重大安全問(wèn)題。平均 19%的漏洞與信息泄露問(wèn)題直接相關(guān)。

?跨站腳本攻擊呈上升趨勢(shì):2022 年發(fā)現(xiàn)的所有高危漏洞中,有 19% 容易受到跨站腳本攻擊。

?第三方軟件風(fēng)險(xiǎn)增加:2022 年十大安全問(wèn)題中,25% 的測(cè)試發(fā)現(xiàn)“使用易受攻擊的第三方庫(kù)”存在風(fēng)險(xiǎn)。如果您不知道正在使用的所有組件(包括第三方和開(kāi)源組件)的版本,那么軟件可能容易受到攻擊。

推薦器件

更多器件
器件型號(hào) 數(shù)量 器件廠商 器件描述 數(shù)據(jù)手冊(cè) ECAD模型 風(fēng)險(xiǎn)等級(jí) 參考價(jià)格 更多信息
LQG15HN6N8J02D 1 Murata Manufacturing Co Ltd General Purpose Inductor, 0.0068uH, 5%, 1 Element, Air-Core, SMD, 0402, CHIP, 0402

ECAD模型

下載ECAD模型
$0.06 查看
SRU1048-150Y 1 Bourns Inc General Purpose Inductor, 15uH, 30%, 1 Element, Ferrite-Core, SMD, 3939, ROHS COMPLIANT

ECAD模型

下載ECAD模型
$1.03 查看
8PCV-03-006 1 TE Connectivity 30A, BARRIER STRIP TERMINAL BLOCK, 1 ROW, 1 DECK, ROHS COMPLIANT

ECAD模型

下載ECAD模型
$4.86 查看
新思

新思

Synaptics(NASDAQ:SYNA)是人機(jī)交互界面變革的先鋒和領(lǐng)導(dǎo)者,為智能設(shè)備提供創(chuàng)新性和直觀式用戶體驗(yàn)。Synaptics擁有強(qiáng)大的研發(fā)能力、廣泛的知識(shí)產(chǎn)權(quán)和可靠的供應(yīng)鏈能力,以此為基礎(chǔ)開(kāi)發(fā)了豐富的觸控、顯示和生物識(shí)別產(chǎn)品。Synaptics提供面向移動(dòng)、PC和汽車行業(yè)的解決方案,產(chǎn)品兼具易用性、功能性和美觀性,有助于使我們的數(shù)字化生活更富成效、更安全、更有趣。

Synaptics(NASDAQ:SYNA)是人機(jī)交互界面變革的先鋒和領(lǐng)導(dǎo)者,為智能設(shè)備提供創(chuàng)新性和直觀式用戶體驗(yàn)。Synaptics擁有強(qiáng)大的研發(fā)能力、廣泛的知識(shí)產(chǎn)權(quán)和可靠的供應(yīng)鏈能力,以此為基礎(chǔ)開(kāi)發(fā)了豐富的觸控、顯示和生物識(shí)別產(chǎn)品。Synaptics提供面向移動(dòng)、PC和汽車行業(yè)的解決方案,產(chǎn)品兼具易用性、功能性和美觀性,有助于使我們的數(shù)字化生活更富成效、更安全、更有趣。收起

查看更多

相關(guān)推薦

電子產(chǎn)業(yè)圖譜