业内权威机构 Synopsys 最近发布了一项研究报告,结果表明在进行4300次测试后,发现95%的应用程序中都至少都有一个影响安全的漏洞或配置错误,其中高危漏洞占20%,严重漏洞则占4.5%。在此次研究中,82% 的测试目标是 Web 应用程序或系统,13% 是移动应用程序,其余是源代码或网络系统/应用程序。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。阅读文本,将带你快速了解报告的重要内容。
如今的开源软件包含来自80%的代码库的代码。在这些代码库中,有81%的代码库至少存在一个漏洞,同时还有85%的代码库甚至包含过时四年的开源组件。然而尽管存在这些担忧,但软件供应链安全和开源软件组件中的漏洞占问题的四分之一左右。报告称,在 21% 的渗透测试和 27% 的静态分析测试中发现了使用中的易受攻击的第三方库类别的安全漏洞。
软件组件中的漏洞数量并没有预期那么高的部分原因可能是因为软件成分分析 (SCA) 得到了更广泛的应用。这说明“安全左移”的概念得到了很好的实践并获得不错的效果,软件组件中的漏洞可以在软件开发生命周期 (SDLC) 的早期阶段(开发和 DevOps 阶段)发现,从而有效减少了将此类漏洞投入生产的数量。
报告中显示,薄弱的 SSL 和 TLS 配置、缺少内容安全策略 (CSP) 标头以及通过服务器 banner 的信息泄漏在具有安全影响的软件问题列表中名列前茅,虽然许多错误配置和漏洞被认为是中等或较低的危害程度,但至少有 25% 被评为高危或严重。
值得注意的是,在研究过程中,有许多企业通常将配置问题视为不太重要的问题,但实际上配置问题和代码问题同样具有风险性。企业可能在执行静态扫码以减少编码漏洞数量方面做得很好,但是很少或者几乎没有企业考虑配置错误问题。同时,由于不了解部署代码的生产环境,静态应用程序安全测试 (SAST) 扫描无法执行配置检查。
Synopsys 发布了来自各种不同测试的数据,每个测试都有相似的重要问题。比如,加密技术的薄弱配置,即安全套接字层 (SSL) 和传输层安全性 (TLS)问题,在静态、动态和移动应用程序安全测试中尤为突出(见下方图表数据)。
图片来源:Synopsys
在研究过程中,渗透测试检测到 77% 的弱 SSL/TLS 配置问题,而动态应用程序安全测试 (DAST) 在 81% 的测试中检测到该问题。根据报告结果显示,这两种技术加上移动应用程序安全测试 (MAST) 能够检测到82%的配置问题。同时,渗透测试在四分之一的应用程序中发现了弱密码策略,在 22% 的应用程序中发现了跨站点脚本,而 DAST 在 38% 的测试中发现了缺乏足够会话超时的应用程序,在 30% 的测试中发现了容易受到点击劫持的应用程序。静态和动态测试以及软件组合分析 (SCA) 都各有优势,因此建议结合使用,以最大程度地检测出潜在的错误配置和漏洞。
总体而言,从 2,700 多个程序的近 4,400 次测试中收集的数据来看,跨站点脚本(XSS)漏洞是高危漏洞,这是影响 web 应用程序的最普遍且最具破坏性的高危漏洞,该漏洞占已发现漏洞的 22%。而 SQL 注入是严重漏洞类别,占已发现漏洞的4%。
在77%的漏洞中发现了 OWASP Top 10 漏洞。以 OWASP A05:2021 – 安全配置错误类别为代表,应用程序和服务器配置错误占测试中发现的总漏洞数量的 18%(比去年的调查结果减少 3%)。其中有 18% 与 OWASP A01:2021 – 损坏的访问控制类别相关(比去年减少 1%)。
生成或获取软件物料清单(SBOM)刻不容缓。在 21% 的渗透测试中发现了易受攻击的第三方库(比去年的调查结果增加了 3%)。这与 2021 OWASP Top 10 类别 A06:2021 - 易受攻击和过时组件的使用相对应。大多数组织混合使用定制代码、商业现成代码和开源组件来创建他们在内部销售或使用的软件。这些组织通常有非正式的(或没有)清单,详细说明他们的软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态。许多公司在使用数百个应用程序或软件系统,每个公司本身可能有成百上千个不同的第三方和开源组件, 因此迫切需要准确、最新的软件物料清单来有效跟踪这些组件。
低风险漏洞仍然可以被利用并促进攻击。在测试中发现的漏洞中有 72% 被认为是低风险或中等风险。也就是说,攻击者无法直接利用发现的问题来访问系统或敏感数据。尽管如此,这些低风险漏洞仍然可以被利用来促进攻击。例如,冗长的服务器标语(在 49% 的 DAST 测试和 42% 的渗透测试中发现)提供了服务器名称、类型和版本号等信息,攻击者可以利用这些信息对特定技术堆栈执行有针对性的攻击。
我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
大约一年前,我决定确保每个包含非唯一文本的Flash通知都将从模块中的方法中获取文本。我这样做的最初原因是为了避免一遍又一遍地输入相同的字符串。如果我想更改措辞,我可以在一个地方轻松完成,而且一遍又一遍地重复同一件事而出现拼写错误的可能性也会降低。我最终得到的是这样的:moduleMessagesdefformat_error_messages(errors)errors.map{|attribute,message|"Error:#{attribute.to_s.titleize}#{message}."}enddeferror_message_could_not_find(obje
Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack
我想用ruby编写一个小的命令行实用程序并将其作为gem分发。我知道安装后,Guard、Sass和Thor等某些gem可以从命令行自行运行。为了让gem像二进制文件一样可用,我需要在我的gemspec中指定什么。 最佳答案 Gem::Specification.newdo|s|...s.executable='name_of_executable'...endhttp://docs.rubygems.org/read/chapter/20 关于ruby-在Ruby中编写命令行实用程序
我构建了两个需要相互通信和发送文件的Rails应用程序。例如,一个Rails应用程序会发送请求以查看其他应用程序数据库中的表。然后另一个应用程序将呈现该表的json并将其发回。我还希望一个应用程序将存储在其公共(public)目录中的文本文件发送到另一个应用程序的公共(public)目录。我从来没有做过这样的事情,所以我什至不知道从哪里开始。任何帮助,将不胜感激。谢谢! 最佳答案 无论Rails是什么,几乎所有Web应用程序都有您的要求,大多数现代Web应用程序都需要相互通信。但是有一个小小的理解需要你坚持下去,网站不应直接访问彼此
我尝试运行2.x应用程序。我使用rvm并为此应用程序设置其他版本的ruby:$rvmuseree-1.8.7-head我尝试运行服务器,然后出现很多错误:$script/serverNOTE:Gem.source_indexisdeprecated,useSpecification.Itwillberemovedonorafter2011-11-01.Gem.source_indexcalledfrom/Users/serg/rails_projects_terminal/work_proj/spohelp/config/../vendor/rails/railties/lib/r
刚入门rails,开始慢慢理解。有人可以解释或给我一些关于在application_controller中编码的好处或时间和原因的想法吗?有哪些用例。您如何为Rails应用程序使用应用程序Controller?我不想在那里放太多代码,因为据我了解,每个请求都会调用此Controller。这是真的? 最佳答案 ApplicationController实际上是您应用程序中的每个其他Controller都将从中继承的类(尽管这不是强制性的)。我同意不要用太多代码弄乱它并保持干净整洁的态度,尽管在某些情况下ApplicationContr
我有一个在Linux服务器上运行的ruby脚本。它不使用rails或任何东西。它基本上是一个命令行ruby脚本,可以像这样传递参数:./ruby_script.rbarg1arg2如何将参数抽象到配置文件(例如yaml文件或其他文件)中?您能否举例说明如何做到这一点?提前谢谢你。 最佳答案 首先,您可以运行一个写入YAML配置文件的独立脚本:require"yaml"File.write("path_to_yaml_file",[arg1,arg2].to_yaml)然后,在您的应用中阅读它:require"yaml"arg
我是一个Rails初学者,但我想从我的RailsView(html.haml文件)中查看Ruby变量的内容。我试图在ruby中打印出变量(认为它会在终端中出现),但没有得到任何结果。有什么建议吗?我知道Rails调试器,但更喜欢使用inspect来打印我的变量。 最佳答案 您可以在View中使用puts方法将信息输出到服务器控制台。您应该能够在View中的任何位置使用Haml执行以下操作:-puts@my_variable.inspect 关于ruby-on-rails-如何在我的R
