ソフトウェア脆弱性スナップショット
web およびソフトウェア?アプリケーションによく見られる10の脆弱性に関する3年間の分析
概要&苍产蝉辫;
本「ソフトウェア脆弱性スナップショット」レポートを作成するにあたり、シノプシス サイバーセキュリティ?リサーチ?センターとシノプシス セキュリティ?テスト?サービスのコンサルタントは、商用ソフトウェア?システムおよびアプリケーションに対して3 年間にわたって実施したテストで得た匿名化データを使用しました。
シノプシスのテストにより、web およびソフトウェア?アプリケーションのセキュリティ上で重大な課題である、常習的に発生している脆弱性が明らかになりました。特に、最も多い脆弱性は以下に関連するものでした。
- 情報流出/ 漏えいとプライバシー
- 设定のミス
- 不十分なトランスポート层の保护
このテストは、脆弱なサードパーティ?ライブラリによってもたらされる目下の危険性を強調するとともに、ソフトウェアの90% 以上にオープンソースが使用されるというソフトウェア開発環境において、堅牢なソフトウェア?サプライチェーンのセキュリティの必要性を明らかにします。
调査した业种の内訳
ソフトウェアとインターネット、金融サービス/保険、ビジネス?サービス、製造业、医疗など、16の业种を対象としています。
実施したテスト
アプリケーション?セキュリティ(础辫辫厂别肠)テストには、ペネトレーション?テスト、动的アプリケーション?セキュリティ?テスト(顿础厂罢)、モバイル?アプリケーション?セキュリティ?テスト(惭础厂罢)が含まれます。
主な调査结果
この报告书は、ソフトウェアのリスクを管理するために、なぜ、あらゆる种类のアプリケーション?セキュリティ?テストが不可欠であるのかを明らかにしています。静的アプリケーション?セキュリティ?テスト(厂础厂罢)のようなテスト?ツールは、ソフトウェア开発ライフサイクルの早い段阶でセキュリティ问题を明らかにすることができますが、厂础厂罢では実行时の脆弱性を明らかにすることはできません。同様に、いくつかの脆弱性は、自动化されたツールでは検出できず、発见するためには人间の监视が必要です。
颁测搁颁が3年间に実施した约12,000件のテストのうち
- 92%が脆弱性を発见
- 32%は深刻が高、あるいは紧急の脆弱性を発见
- 77%の脆弱性がOWASP Top 10のカテゴリーに分類された
レポートをダウンロード
ソフトウェア脆弱性スナップショット
web およびソフトウェア?アプリケーションによく見られる10の脆弱性に関する3年間の分析
