随着数字化转型全面展开,使用的代码量也随之急剧增加,同时也意味着攻击面也在增加。这给软件研发和安全团队带来了挑战。提前了解常见漏洞的现状和趋势可以帮助他们提前部署,防患未然。
新思科技(Synopsys, Nasdaq: SNPS)近日发布了《2023年软件漏洞快照》报告。新思科技网络安全研究中心 (CyRC) 分析的数据显示,目标应用中发现的漏洞显著减少——从 2020 年的 97% 下降到 2022 年的 83%——这是一个令人鼓舞的迹象,表明代码审查、自动化测试和持续集成有助于减少常见的编程错误。
该报告详细介绍了由新思科技安全测试服务运行的测试汇总出的三年数据(2020 年至 2022 年),测试目标包括 Web 应用、移动应用、网络系统和源代码。测试结合多种安全技术,包括渗透测试、动态应用安全测试 (DAST)、移动应用安全测试 (MAST) 和网络安全测试,旨在探测在真实环境不法分子会如何攻击正在运行的应用。
虽然行业采取积极措施应对软件漏洞,数据表明,依靠静态应用安全测试 (SAST) 等单一工具作为解决方案的方法已不再适用。例如,服务器配置错误平均占三年测试中发现的漏洞总数的 18%。如果没有结合多层安全措施,例如SAST识别编码缺陷、DAST检查正在运行的应用、软件组成分析(SCA)识别第三方组件引入的漏洞以及渗透测试识别内部测试可能遗漏的问题,这些类型的漏洞可能会无法检测出来。
新思科技质量与安全部门总经理Jason Schmitt表示:“多年来我们第一次看到软件中已知漏洞的数量有所下降,这给企业带来了新希望。他们严肃对待安全问题,并优先考虑对软件安全部署全面的策略,以持续确保安全。随着黑客变得越来越老练,我们比以往任何时候都更需要采取多层安全措施,以识别软件风险所在并保护企业免遭利用。”
《2023年软件漏洞快照》报告还发现:
点击这里,下载《2023年软件漏洞快照》报告。
好文章,需要你的鼓励
微软与Anthropic达成合作协议,为Microsoft 365 Copilot用户提供Claude AI引擎选项。商业版Frontier Copilot用户可选择Claude Opus 4.1和Sonnet 4等模型,但需管理员权限。这标志着微软正在超越OpenAI,采用更开放的AI代理方式。微软已在Visual Studio中集成Claude,并在Azure中加入Grok AI。微软AI CEO表示,公司将基于他人最佳技术构建应用,而非追求AI领导地位。
哥本哈根大学等机构研究发现,主流视觉语言模型在将图像转换为文字描述时会丢失40%-90%的视觉信息。研究开发了两种创新方法来量化这种信息丢失:邻居关系分析和嵌入重建技术。实验表明信息丢失直接影响AI的检索和问答性能,研究还实现了丢失区域的精确可视化,为优化AI视觉系统提供了重要工具。
OpenAI发布ChatGPT脉冲功能,这一推送特性可根据用户聊天历史自动生成个性化每日更新。该功能目前向Pro订阅用户开放,通过分析用户聊天记录、偏好设置以及Gmail和谷歌日历连接,AI模型在夜间进行研究,次日清晨以卡片形式推送相关信息。用户可通过点赞或踩的方式提供反馈。这标志着OpenAI向主动式AI助手转变的重要一步。
阿联酋研究团队创建了PersonaX数据库,包含超过1.3万人的多模态性格分析数据。通过整合面部照片、背景信息和AI生成的行为特征描述,研究首次实现了大规模的跨模态性格分析。团队开发的双层分析框架不仅能发现统计关联,还能揭示深层因果关系,为理解人类性格特征提供了全新视角。