Synopsys：2022年软件漏洞快照报告（英文版）

渗透测试、动态应用安全测试 (DAST) 和移动应用安全测试 (MAST)，旨在探测在真实环境不法分子会如何攻击正在运行的应用。研究发现，82% 的测试目标是 Web 应用或系统，13% 是移动应用，其余是源代码或网络系统/应用。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。在进行的 4,300 多次测试中，新思科技发现 95% 的目标应用存在某种形式的漏洞（比去年的调查结果减少了 2%）； 20%存在高危漏洞（比去年减少 10%）；4.5%存在严重漏洞（比去年减少 1.5%）。结果表明，安全测试的最佳方法是利用广泛的可用工具，包括静态分析、动态分析和软件组成分析，以帮助确保应用或系统没有漏洞。例如，总测试目标中有 22% 暴露于跨站点脚本 (XSS) 漏洞。这是影响 Web 应用最普遍和最具破坏性的高/严重风险漏洞之一。许多 XSS 漏洞发生在应用运行时。好消息是，今年的调查结果中发现的风险比去年低 6%。这意味着企业正在采取积极措施，以减少其应用中的 XSS 漏洞。新思科技软件质量与安全部门安全咨询副总裁Girish Janardhanudu指出