The Synopsys Software Integrity Group is now Black Duck®. Learn More

Vulnerabilities Booklet | Synopsys

软件漏洞快照 报告

对三年来10类最常见网络和软件应用漏洞的分析

报告摘要

为了制作《软件漏洞快照》报告,Black Duck网络安全研究中心 (CyRC)的研究人员和Black Duck安全测试服务部的顾问使用了商业软件系统和应用测试三年的匿名数据。

Black Duck测试发现了仍对网络和软件应用安全造成重大威胁的已知漏洞,尤其是与以下各项相关的高危漏洞:

  • 信息披露/泄露和隐私
  • 配置错误
  • 传输层保护不足

这些测试还凸显出易受攻击的第三方库带来的持续危险,以及软件开发环境对强大软件供应链安全的需求 — 在软件开发中,超过90%的软件中包含开源代码。

调查的行业

该报告涉及16个垂直行业,包括软件和互联网、金融服务、保险、商业服务、制造业、媒体和娱乐以及医疗保健。

主要测试结果

该报告清楚地解释了为何说全方位的AppSec测试对于管理软件风险至关重要。虽然静态应用安全测试 (SAST) 等测试工具可以在软件开发生命周期的早期揭示安全问题,但却无法发现运行时漏洞。同样,某些漏洞是自动测试工具无法检测到的,需要人工监督才能发现。

主要测试结果

该报告清楚地解释了为何说全方位的AppSec测试对于管理软件风险至关重要。虽然静态应用安全测试 (SAST) 等测试工具可以在软件开发生命周期的早期揭示安全问题,但却无法发现运行时漏洞。同样,某些漏洞是自动测试工具无法检测到的,需要人工监督才能发现。

通过长达三年的大约1.2万次测试,CyRC发现:

  • 92%的软件中存在漏洞
  • 33%的软件中存在严重或高危漏洞
  • 77%的漏洞属于OWASP Top 10

下载该报告


软件漏洞快照 报告

对三年来10类最常见的网络和软件应用漏洞的分析

Software Vulnerability Snapshot

立即下载