《新思科技（Synopsys）：2022年軟件漏洞快照報告（17頁）.pdf》由會員分享，可在線閱讀，更多相關《新思科技（Synopsys）：2022年軟件漏洞快照報告（17頁）.pdf（17頁珍藏版）》請在三個皮匠報告上搜索。

1、軟件漏洞快照CyRC新思安全測試服務與新思網絡安全研究中心(CyRC)聯合分析10種最常見的Web應用漏洞 |2目錄概述.1誰是本報告的讀者.2誰是第三方應用安全測試的用戶.3本報告提及的測試類型.3新思科技AST服務測試中發現的安全問題.4基于OWASP Top 10的漏洞分類.6OWASP類別詳解.8使用全系列的安全工具進行測試.9WhiteHat Dynamic.10即使低風險漏洞也可能被利用而達成攻擊.11脆弱的第三方庫所帶來的危險.12基于軟件物料清單管理供應鏈風險.12大規模管理風險需要全面的AppSec計劃.13建議.14關于CyRC研究.14 |1概述為了制作本年度的 應用漏洞

2、快照 報告，新思科技網絡安全研究中心(CyRC)的研究人員對 新思科技應用安全測試(AST)服務中測試的商業軟件系統和應用的匿名數據進行了研究。今年的報告包括2021年對2,711個目標（即軟件或系統）進行的4,398次測試所獲得的數據。幾乎所有的測試(95%)都是侵入性的黑盒測試和灰盒測試，包括滲透測試、動態應用安全測試(DAST)和移動應用安全測試(MAST)分析。黑盒測試是從外部視角考察目標的安全狀態，灰盒測試則是模擬經過驗證、擁有憑證的用戶 本質上是通過更深入的洞察來擴展黑盒測試。新思科技AST服務測試的目標是像真實世界中的攻擊者一樣探測正在運行的應用，從而識別漏洞并進行必要的分類和修

3、復。被測目標主要是web(82%)和移動(13%)應用，其余5%為源代碼或網絡系統/應用測試。被測目標主要來自軟件和互聯網(32%)、金融服務(26%)、商業服務(18%)、制造(7%)、消費者服務(7%)以及醫療健康(6%)行業。其余4%的被測目標來自旅游和休閑、教育、能源、公用事業和其他垂直行業。新思科技AST（應用安全測試）服務的目標是像真實世界中的攻擊者一樣探測正在運行的應用，從而識別漏洞并進行必要的分類和修復。本次研究涉及的行業軟件和互聯網、系統集成和服務、計算機和電子金融服務、保險商業服務制造、運輸和儲存、批發和分銷消費者服務、媒體和娛樂、零售、電子商務醫療健康、制藥和生物科技其他

4、32%26%18%7%7%6%4%|2誰是本報告的讀者如果您是軟件安全計劃負責人，那么，深入了解軟件風險可以幫助您做好安全規劃，實現安全工作的戰略性改進。如果您正在從戰術角度審視安全計劃，則可以使用本報告中的信息來制作業務案例，以便在軟件安全計劃中擴展安全測試，例如，通過增強靜態應用安全測試(SAST)和軟件組成分析(SCA)，或者通過對正在運行的應用進行DAST、滲透、模糊或MAST測試。Forrester報告 2022年應用安全狀態 指出，web應用漏洞是第三大最常見的攻擊（見圖1）。面對如此嚴重的問題，企業顯然需要像攻擊者一樣測試其正在運行的web應用，并在漏洞被外部心懷叵測之人利用之前

5、識別并消除它們。在參與BSIMM項目的企業中，88%的企業借助外部滲透測試服務來發現問題?！肮羰侨绾伍_展的？”軟件漏洞利用 供應鏈/第三方破壞Web應用漏洞利用(SQLi,XSS,RFI)網絡釣魚社會工程使用薄弱或被盜的憑據 戰略性網絡妥協惡意垃圾郵件管理員工具濫用利用丟失/被盜的資產 35%33%32%31%30%29%27%26%26%24%圖 1.Web應用漏洞利用攻擊占攻擊總數的30%|3誰是第三方應用安全測試的用戶企業出于各種原因使用第三方應用安全測試服務，其中最主要的原因之一就是缺乏訓練有素或經驗豐富的安全專業人員。某些企業可能還希望驗證自己的測試，并確保其內部安全控制機制運行正

6、常。某些企業可能需要增強軟件安全測試能力，但不想增加專用工具和人員預算。還有一些企業可能為了滿足強制性的監管或業務需求而進行第三方評估。例如，支付卡行業數據安全標準(PCI DSS)要求定期或在軟件或系統發生重大變更之后進行滲透測試。2022年 BSIMM13趨勢與洞察報告 指出，在參與軟件安全構建成熟度模型(BSIMM)項目的企業中，有88%使用外部的滲透測試服務來發現問題。BSIMM項目旨在研究企業采用怎樣的策略將安全性構建到軟件開發中。這些測試可以發現內部測試可能遺漏的問題，并可能揭示企業安全工具集中的薄弱環節。例如，如果靜態分析工具不能捕獲在DAST或滲透測試期間出現的安全缺陷，那么，

7、企業的整體安全測試結果很可能存在問題。如想進一步了解BSIMM項目，可閱讀 BSIMM13基礎 報告，它提供了關于BSIMM背景和數據的深入詳細的信息。如想了解最新的BSIMM調查結果摘要，請閱讀 BSIMM13趨勢與洞察 報告。本報告提及的測試類型在2021年通過新思科技AST服務開展的測試中，滲透測試占到測試總數的64%其目的在于通過模擬攻擊來評估應用或系統的安全性。滲透測試幫助企業在軟件開發的最后階段或部署之后發現并修復運行時的漏洞。滲透測試通常是安全標準提出的強制性合規要求。正如本報告前面所提到的那樣，符合 支付卡行業數據安全標準(PCI DSS)要求定期進行滲透測試。滲透測試還將必要

8、的人為因素引入到安全方程式中。一些漏洞無法被自動化測試工具輕易檢測到它們需要人工監督才能被發現。例如，檢測不安全的直接對象引用(IDOR)的唯一有效方法是執行手動測試，IDOR是允許攻擊者訪問未授權數據的缺陷。第三方可以為測試結果提供專業知識、度量、信任和補救指導。從長遠來看，他們還可以降低您的整體風險狀況，同時為您節省時間和金錢。第三方測試對于幫助您實現以下目標是非常有用的：第三方應用安全測試的好處擴大安全覆蓋范圍滿足合規要求提高您在客戶心中的安全聲譽改進軟件安全威脅響應機制 |4動態應用安全測試(DAST)和移動應用安全測試(MAST)分別占到測試總數的18%和12%。MAST用于發現身份

9、認證和授權問題、客戶端信任問題、安全控制的錯誤配置、跨平臺開發框架問題、以及運行在移動設備上的應用二進制文件和相應服務器端系統中的漏洞。DAST的主要目標是測試正在運行的web應用中是否存在SQL注入和跨站腳本攻擊等漏洞。web應用中被利用的漏洞有時并不存在于源代碼中；這些漏洞只在部署到生產環境之后才會出現。這使得DAST成為所有應用安全測試計劃的重要組成部分。如前所述，開發完整的軟件安全藍圖有時需要人工監督。新思科技DAST評估服務包括手動測試，旨在發現開箱即用工具通常無法發現的漏洞，例如與身份驗證和會話管理、訪問控制和信息泄漏相關的一些漏洞。靜態應用安全測試(SAST)和軟件組成分析(SC

10、A)的用途經常與DAST和滲透測試相混淆。SAST和SCA測試應用代碼，用于發現與DAST和滲透測試不同的漏洞集。企業應在軟件開發過程中的各個階段利用多種測試技術，以實現全面的安全覆蓋。新思科技AST服務測試中發現的安全問題2021年，在新思科技AST服務開展的4,398次測試中，95%的測試在被測目標應用中發現了某種形式的漏洞，其中25%是高風險漏洞或嚴重風險漏洞。隨著越來越多的攻擊者使用自動漏洞利用工具，他們可以在幾秒鐘內攻擊數千個系統，因此，即時修復高風險和嚴重風險漏洞就變得非常緊迫。例如，允許進行跨站腳本攻擊(XSS)的漏洞可以為攻擊者提供訪問應用資源和數據所需的入口。新思科技AST服

11、務發現，在2021年的所有被測目標中，有22%檢測到了反射型、存儲型或DOM型跨站腳本攻擊(見圖2)。嚴重風險漏洞可致使攻擊者在Web應用或應用服務器上執行代碼并訪問敏感數據。常見的嚴重風險漏洞包括遠程代碼執行和SQL注入 通過在客戶端到應用的輸入數據中插入SQL查詢。雖然沒有在圖2中顯示，但在所有被測目標中有4%容易受到某種類型的SQL注入攻擊。在2021年通過新思科技AST服務開展的4,398次測試中，95%的測試在被測目標應用中發現了某種形式的漏洞。|5測試類型（不含回歸測試）64%18%12%6%滲透測試移動測試動態分析其他*靜態分析、網絡滲透測試2,711被測目標數量4,398測試次

12、數新思科技應用安全測試服務數據統計4,194發現漏洞的測試數量(95%)30,731發現的漏洞總數發現嚴重或高危漏洞的測試數量(25%)發現最多的高風險漏洞1,420 反射型、存儲型、或DOM型跨站腳本攻擊(22%)發現最多的嚴重風險漏洞SQL注入/盲SQL注入(4%)發現最多的漏洞弱SSL/TLS配置(82%)對修復情況進行驗證的回歸測試：占到測試總數的34%對先前測試過的應用進行新的評估：占到測試總數的26%|6圖 2.2021年所有測試中發現的十類主要漏洞基于OWASP Top 10的漏洞分類開放式Web應用程序安全項目（即OWASP）Top 10是大量開發人員和Web應用安全團隊共同確

13、定的具有最重大安全風險的Web應用漏洞。2021年底，Top 10 列表進行了更新，添加了三個新類別，并對原有類別進行了合并，有些更改了名稱和范圍。雖然OWASP只想將該列表用作參考文件，但許多企業都將其用作了事實上的應用安全標準。在新思科技AST服務測試發現的30,731個漏洞中，78%屬于OWASP Top 10。在新思科技AST服務測試發現的30,731個漏洞中，78%屬于OWASP Top 10。漏洞發現該漏洞的測試目標占測試目標總數的百分比弱SSL/TLS配置82%內容安全策略頭缺失46%過細的服務器Banner45%未實施HTTP嚴格傳輸安全(HSTS)標準40%可緩存的HTTPS

14、內容34%不安全的內容安全策略頭28%弱密碼策略26%會話超時時間過長25%點擊劫持22%反射型、存儲型或DOM型跨站腳本攻擊22%|7圖3列出了新思科技發現的10類最常見漏洞與OWASP Top 10和OWASP Mobile Top 10（2類）的匹配情況。漏洞描述OWASP Top 10列表中的類別該漏洞與測試所發現的全部漏洞的百分比信息披露：信息泄露A01:2021訪問控制失效18%服務器配置錯誤A05:2021安全配置錯誤18%傳輸層保護不足M3：傳輸層保護不足11%授權：授權不足M6：不安全授權7%應用隱私測試A07:2021身份識別和認證失敗5%客戶端攻擊：內容欺騙A03:202

15、1注入4%指紋驗證A07:2021身份識別和認證失敗4%身份認證：身份認證不足A07:2021身份識別和認證失敗4%應用配置錯誤A05:2021安全配置錯誤4%授權：會話老化不完善A07:2021身份識別和認證失敗3%總占比78%圖3列出了新思科技發現的10類最常見漏洞與OWASP Top 10和OWASP Mobile Top 10（2類）的匹配情況。圖3：這些漏洞與2021年OWASP Top 10和OWASP Mobile Top 10的匹配情況 |8一般來說，只有手動測試才能發現大多數的IDOR問題。A07:2021身份識別和認證失敗“A07:2021-身份識別和認證失敗”（原名“失敗

16、的身份認證”）現在包括與身份識別失敗相關的漏洞。在測試發現的所有漏洞中，有16%屬于這個OWASP類別，包括測試中識別出的“指紋識別”漏洞。指紋識別是用于驗證用戶身份的一種安全措施。但是，如果Web服務器未被正確配置和監控，指紋識別也可以向攻擊者提供有價值的信息，如OS類型、OS版本、SNMP信息、域名、網段和VPN接入點等。當應用程序允許重新使用舊的會話憑據或會話ID進行授權時，將出現會話老化不充分的情況，這是OWASP Mobile Top 10中的另一個類別。A03:2021注入（客戶端攻擊：內容欺騙）“A03:2021注入”類別中包括“跨站腳本攻擊”和“SQL注入”等眾所周知的漏洞?！?/p>

17、內容欺騙”是與跨站腳本攻擊密切相關的攻擊，其目的是出于惡意修改網頁。在測試中發現的所有漏洞中，有4%屬于該類別。A05:2021安全配置錯誤（應用配置錯誤）與服務器錯誤配置一樣，應用配置錯誤也歸類為“A05:2021-安全配置錯誤”。4%的漏洞與應用配置錯誤有關。M3：傳輸層保護不足許多移動應用都存在傳輸層安全性不足的特定問題，以至于OWASP在OWASP Mobile Top 10中專門針對這一問題設立了一個類別。正如OWASP指出的那樣，“移動應用通常不能保護網絡流量。它們可能只在身份驗證期間使用SSL/TLS，在其他時間并不使用。這種不一致性會帶來數據和會話ID被攔截的風險?！痹诒敬螠y試

18、所發現的所有漏洞中，有11%與傳輸層保護不足有關。M6：不安全授權7%的被測目標中包含不安全授權漏洞，這是OWASP Mobile Top 10中的另一個類別。身份驗證旨在識別個體的身份，而授權則旨在檢查個體是否只擁有所需的權限。例如，作為請求的一部分，移動應用將用戶的角色或權限傳輸到后端系統就是不安全授權。OWASP指出，IDOR漏洞的存在通常表示代碼未執行有效的授權檢查。這是需要輔以手動測試才能實現全面安全覆蓋的另一種情況。OWASP類別詳解A01:2021訪問控制失效在所有的漏洞中，有18%可歸為2021 OWASP Top 10中的“A01:2021-訪問控制失效”。OWASP團隊注意

19、到，在被測應用中，屬于這一類別的漏洞比任何其他類別都要多。該類別中最顯著的漏洞包括“將敏感信息暴露給未經授權的行為者”、“通過發送的數據暴露敏感信息”和“跨站請求偽造”?！霸L問控制失效”類別中包含的許多漏洞都更加趨向于業務邏輯問題而非實際類型的漏洞，因此無法被自動測試工具輕松檢測到。例如，IDOR問題 允許攻擊者操縱引用以訪問未經授權數據的問題 就屬于“訪問控制失效”類別。如本報告前面所述，檢測IDOR問題的唯一有效方法是開展手動測試。A05:2021安全配置錯誤（服務器配置錯誤）服務器配置錯誤，歸類為OWASP的“A05:2021安全配置錯誤”，占到測試中發現的漏洞總數的18%。安全配置錯誤

20、可能發生在應用堆棧的任何級別，包括網絡服務、平臺、web服務器、應用服務器、數據庫、框架、自定義代碼和預安裝的虛擬機、容器或存儲。此類漏洞經常會允許攻擊者未經授權訪問某些系統數據或功能，有時甚至會導致整個系統被破壞。|9使用全系列的安全工具進行測試漏洞發現該漏洞的滲透測試占滲透測試總數的百分比漏洞發現該漏洞的DAST掃描占DAST掃描總數的百分比弱SSL/TLS配置77%弱SSL/TLS配置81%內容安全策略頭缺失46%內容安全策略頭缺失56%過細的服務器Banner42%過細的服務器Banner49%未實施HTTP嚴格傳輸安全(HSTS)標準36%未實施HTTP嚴格傳輸安全(HSTS)標準4

21、8%可緩存的HTTPS內容32%可緩存的HTTPS內容40%不安全的內容安全策略頭30%會話超時時間過長38%弱密碼策略25%點擊劫持30%反射型、存儲型或DOM型跨站腳本攻擊22%不安全的內容安全策略頭28%會話超時時間過長21%弱密碼策略27%使用易受攻擊的第三方庫21%反射型、存儲型或DOM型跨站腳本攻擊22%點擊劫持21%退出后會話未失效22%過細的錯誤消息（含堆棧蹤跡）19%未屏蔽的非公開信息數據22%過細的錯誤消息18%密碼重置用戶名枚舉21%未屏蔽的非公開信息數據16%連續身份驗證嘗試的限制不當19%退出后會話未失效16%X.509證書即將過期(SSL/TLS)19%圖4清楚地表

22、明，應用程序通常無法履行保護敏感網絡流量完整性的職責?！叭鮏SL/TLS配置”是整個測試中發現的最嚴重的漏洞，82%的被測目標中包含某種形式的該漏洞。按測試類型細分，滲透測試在77%的被測目標中發現了弱SSL/TLS配置，這一比例在DAST掃描和MAST掃描中分別為81%和32%。滲透測試和DAST 掃描均發現，22%的被測目標遭受了一定程度的跨站腳本攻擊，這是影響Web應用的最普遍和最具破壞性的高風險/嚴重風險漏洞之一。雖然SAST掃描可以檢測到很多常見漏洞，但僅限于發現代碼本身出現的漏洞。大多數XSS漏洞僅在應用運行時才會出現。圖 4.滲透測試和DAST掃描中發現的15類主要漏洞（不含回歸

23、測試）|10WhiteHat Dynamic2022年6月，新思科技收購了應用安全領域的領軍者以及動態應用安全測試解決方案這一細分市場的領先提供商WhiteHat Security。WhiteHat Dynamic擴展了新思科技的應用安全測試服務組合，提供基于訂閱的靜態分析、動態分析和移動測試服務。2021年間，新思科技使用WhiteHat對超過1.6萬個應用進行了超過500萬次掃描，在客戶的web應用中發現了25萬個缺陷和漏洞。有趣的是，若以OWASP Top 10為標準，則WhiteHat的測試結果與新思科技AST服務的測試結果高度一致。漏洞描述該漏洞占新思科技AST服務測試所發現的全部漏

24、洞的百分比信息披露：信息泄露18%服務器配置錯誤18%傳輸層保護不足11%授權：授權不足7%應用隱私測試5%客戶端攻擊：內容欺騙4%指紋驗證4%身份認證：身份認證不足4%應用配置錯誤4%授權：會話老化不完善3%圖 6.這些漏洞占新思科技AST服務測試所發現的全部漏洞的百分比圖5.2021年WhiteHat掃描中發現的10類主要軟件缺陷/漏洞 WhiteHat掃描中發現的10類主要漏洞1.信息泄露2.Frame嵌套資源（點擊劫持）3.傳輸層保護不足4.指紋驗證5.應用配置錯誤6.授權不足7.跨站腳本攻擊8.服務器配置錯誤9.輸入處理不當10.目錄索引（訪問控制中斷）|11漏洞發現該漏洞的MAST

25、掃描占MAST掃描總數的百分比弱SSL/TLS配置32%缺少二進制混淆(iOS)31%登錄后將憑證保存在內存中30%應用允許復制敏感數據(iOS)26%應用允許復制敏感數據22%未屏蔽的非公開數據22%應用截圖信息披露21%缺少證書鎖定機制(iOS)20%缺少二進制混淆19%應用程序傳輸安全機制的不安全配置(iOS)19%支持易受攻擊的最低操作系統版本(iOS)18%未加密存儲在本地存儲器中的敏感數據(iOS)18%在沒有安全訪問控制機制的情況下使用iOS密鑰鏈17%應用截圖信息披露(iOS)16%應用截圖信息披露(Android)16%圖 7.MAST掃描發現的15類主要漏洞（不含回歸測試）

26、即使低風險漏洞也可能被利用而達成攻擊測試發現的許多漏洞被認為是較低風險、低風險或中風險漏洞。也就是說，攻擊者無法直接利用這些漏洞來訪問系統或敏感數據。盡管如此，找出這些漏洞并非無用之功，因為即使是較低風險的漏洞也可被用來促進攻擊。例如，過細的服務器Banner 在49%的DAST掃描和42%的滲透測試中發現的漏洞 提供了服務器名稱、類型和版本號等信息，可能有助于攻擊者對特定技術棧發動有針對性的攻擊。新思科技AST服務測試結果清楚地表明，安全測試的最佳方法是使用一系列工具來幫助確保應用或系統是安全的。|12實施內容安全策略(CSP)等保護措施可以提供額外的安全層，幫助檢測和緩解某些類型的攻擊，如

27、跨站腳本攻擊和數據注入攻擊。不安全或缺少CSP可能被視為低風險問題。然而，跨站腳本攻擊、點擊劫持和跨站泄漏等漏洞利用攻擊的猖獗程度為企業部署CSP（更重要的是，安全的CSP）提供了強有力的依據，企業可將其作為有效的第二個保護層來抵御各類攻擊（尤其是跨站腳本攻擊）。脆弱的第三方庫所帶來的危險如圖4所示，雖然作用于不同的應用，但滲透測試和DAST掃描發現了許多相同類型的漏洞。另一方面，這兩類測試所揭示的漏洞在另一類測試中要么未被發現，要么發現頻率遠低于另一類測試。例如，“使用易受攻擊的第三方庫”這類漏洞在21%的滲透測試中被發現，但卻沒有出現在DAST掃描所發現的15類主要漏洞中。盡管本報告中沒有

28、詳細說明，但在新思科技應用測試服務2021年開展的靜態分析測試中，27%的測試發現了相同類別的漏洞?！笆褂靡资芄舻牡谌綆臁钡穆┒纯蓺w為OWASP Top 10中的“A06:2021-易受攻擊和過時的組件”類別。OWASP指出，軟件在以下情況下容易受到攻擊：企業不知道其所使用的所有組件（客戶端和服務器端）的版本，包括直接使用的組件以及依賴的組件。企業正在使用的代碼已不被支持或已過期，包括OS、Web/應用服務器、數據庫管理系統、應用、API和所有組件、運行時環境和庫。面對備受矚目的供應鏈攻擊，軟件供應鏈安全已經成為依賴第三方軟件的企業的主要擔憂。大多數軟件供應鏈風險管理項目都專注于識別和保護

29、第三方軟件 通常是打算集成到企業自主開發軟件中的開源軟件。新思科技與Enterprise Strategy Group(ESG)近期發布的一份報告指出，73%的受訪企業已經開始通過各種措施來加強對軟件供應鏈的保護能力。軟件供應鏈安全已成為依賴第三方軟件的企業的主要擔憂。|13基于軟件物料清單管理供應鏈風險為了更好地管理供應鏈風險，越來越多的企業開始使用自動化工具生成軟件物料清單(SBOM)，以充分識別他們使用的第三方軟件，并提高他們對公開披露的漏洞的響應能力。據 BSIMM13基礎 報告顯示，“為軟件創建物料清單”的BSIMM活動量增長了30%，證明SBOM已經成為一個發展趨勢。BSIMM13

30、數據還表明，由于現代軟件中開始普遍使用開源組件并且將最受歡迎的開源項目作為載體的攻擊越來越多，導致“識別開源代碼”和“控制開源代碼風險”活動均增長了35%。由于許多公司都在使用數百個應用或軟件系統，并且每個應用或軟件系統本身都可能依賴數百到數千個不同的第三方和開源組件，因此，企業迫切需要借助準確的、最新的SBOM來有效跟蹤這些組件。大規模管理風險需要全面的AppSec計劃如果企業所銷售的軟件或包含嵌入式軟件的產品出現了影響產品使用的軟件安全、合規或質量問題，將給企業帶來難以承受的影響。即使是不直接銷售軟件或軟件驅動產品的企業，也會受到軟件質量和安全問題的影響。大多數的工資單、賬單、應收賬款、銷

31、售跟蹤和客戶記錄的管理系統都是由軟件驅動的。軟件控制生產、管理庫存、指揮倉儲活動、并運行著確保正常業務運營的分銷系統。軟件也是大多數企業與客戶交互的方式。如前面的Forrester報告 2022年應用安全狀態 所述，web應用漏洞是排名第三的常見軟件攻擊類型。信用風險評估巨頭Equifax就曾是此類漏洞利用攻擊的受害者，當時，攻擊者侵入了Equifax門戶網站的底層軟件框架，導致1.43億美國公民的個人數據泄漏。很明顯，企業不僅應該使用靜態分析和軟件組成分析工具來測試web應用中的常見缺陷、漏洞和錯誤配置，而且還應該以攻擊者探測它們的方式來測試其正在運行的web應用。全方位的應用安全測試是當今

32、世界管理軟件風險的重要手段之一。當企業缺乏執行高級黑盒或灰盒安全測試所需的人力資源或工具時，或者需要審查內部軟件安全控制機制時，與新思科技應用安全測試服務這樣的第三方合作是最佳選擇。|14建議制定策略，部署全系列的安全測試工具。利用安全測試工具收集數據、合并數據，并使用這些數據制定和實施軟件安全策略?；旌祥_展自動和手動安全測試。選擇正確的供應商 通過第三方AST服務支持內部測試，這些服務可能包括構建時的靜態分析、人工代碼審查、QA/集成測試中的動態掃描、以及生產前和生產后的滲透測試。全系列的測試工具可以幫助您修復缺陷，并識別軟件中的已知漏洞，無論該軟件是商用第三方軟件、開源軟件還是您自主開發的

33、軟件。收集數據，以了解執行了哪些測試以及發現了哪些問題，從而推動安全狀況在軟件開發生命周期和治理過程中得到改進。應用安全測試方法沒有絕對的好與壞。某些漏洞無法被自動測試工具輕松檢測到，需要人工監督才能發現。您應根據具體情況、以最有效的方式開展安全測試，并通過自動測試來加強測試結果。選擇能夠為貴公司高級管理人員以及滿足監管/合規要求而制作全面風險狀況報告的供應商。CyRC關于CyRC研究新思科技網絡安全研究中心(CyRC)的使命是發布安全研究報告，幫助企業更好地開發和使用安全的、高質量的軟件。新思科技提供的集成解決方案，可以改變您構建和交付軟件的方式，在應對業務風險的同時加速創新。與新思科技同行

34、，您的開發人員可以在編寫代碼的時候快速兼顧安全。您的開發和DevSecOps團隊可以在不影響速度的情況下在開發管道中自動進行安全測試。您的安全團隊可以主動管理風險并將補救工作聚焦在對貴組織最重要的事情上。我們無與倫比的專業知識可以幫助您規劃和執行所需的安全計劃。只有新思科技能夠滿足您構建可信軟件的一切需求。如需了解更多信息，請訪問： E Middlefield Road Mountain View,CA 94043 USA聯系我們：中國銷售熱線：+86-021-23072404國際銷售熱線：+1 415.321.5237電子郵件：sig-2022 Synopsys,Inc.版權所有，保留所有權利。新思科技是Synopsys,Inc.在美國和其他國家/地區的商標。新思科技商標列表可在 獲得。本文提及的所有其他名稱均為其各自所有者的商標或注冊商標。2022年11月新思科技與眾不同|