ソフトウェア脆弱性スナップショット
web およびソフトウェア・アプリケーションによく見られる10の脆弱性に関する3年間の分析
概要
本「ソフトウェア脆弱性スナップショット」レポートを作成するにあたり、シノプシス サイバーセキュリティ・リサーチ・センターとシノプシス セキュリティ・テスト・サービスのコンサルタントは、商用ソフトウェア・システムおよびアプリケーションに対して3 年間にわたって実施したテストで得た匿名化データを使用しました。
シノプシスのテストにより、web およびソフトウェア・アプリケーションのセキュリティ上で重大な課題である、常習的に発生している脆弱性が明らかになりました。特に、最も多い脆弱性は以下に関連するものでした。
- 情報流出/ 漏えいとプライバシー
- 設定のミス
- 不十分なトランスポート層の保護
このテストは、脆弱なサードパーティ・ライブラリによってもたらされる目下の危険性を強調するとともに、ソフトウェアの90% 以上にオープンソースが使用されるというソフトウェア開発環境において、堅牢なソフトウェア・サプライチェーンのセキュリティの必要性を明らかにします。
調査した業種の内訳
ソフトウェアとインターネット、金融サービス/保険、ビジネス・サービス、製造業、医療など、16の業種を対象としています。
実施したテスト
アプリケーション・セキュリティ(AppSec)テストには、ペネトレーション・テスト、動的アプリケーション・セキュリティ・テスト(DAST)、モバイル・アプリケーション・セキュリティ・テスト(MAST)が含まれます。
主な調査結果
この報告書は、ソフトウェアのリスクを管理するために、なぜ、あらゆる種類のアプリケーション・セキュリティ・テストが不可欠であるのかを明らかにしています。静的アプリケーション・セキュリティ・テスト(SAST)のようなテスト・ツールは、ソフトウェア開発ライフサイクルの早い段階でセキュリティ問題を明らかにすることができますが、SASTでは実行時の脆弱性を明らかにすることはできません。同様に、いくつかの脆弱性は、自動化されたツールでは検出できず、発見するためには人間の監視が必要です。
CyRCが3年間に実施した約12,000件のテストのうち
- 92%が脆弱性を発見
- 32%は深刻が高、あるいは緊急の脆弱性を発見
- 77%の脆弱性がOWASP Top 10のカテゴリーに分類された
レポートをダウンロード
ソフトウェア脆弱性スナップショット
web およびソフトウェア・アプリケーションによく見られる10の脆弱性に関する3年間の分析
