《新思科技(Synopsys):2022年软件漏洞快照报告(17页).pdf》由会员分享,可在线阅读,更多相关《新思科技(Synopsys):2022年软件漏洞快照报告(17页).pdf(17页珍藏版)》请在三个皮匠报告上搜索。
1、软件漏洞快照CyRC新思安全测试服务与新思网络安全研究中心(CyRC)联合分析10种最常见的Web应用漏洞 |2目录概述.1谁是本报告的读者.2谁是第三方应用安全测试的用户.3本报告提及的测试类型.3新思科技AST服务测试中发现的安全问题.4基于OWASP Top 10的漏洞分类.6OWASP类别详解.8使用全系列的安全工具进行测试.9WhiteHat Dynamic.10即使低风险漏洞也可能被利用而达成攻击.11脆弱的第三方库所带来的危险.12基于软件物料清单管理供应链风险.12大规模管理风险需要全面的AppSec计划.13建议.14关于CyRC研究.14 |1概述为了制作本年度的 应用漏洞
2、快照 报告,新思科技网络安全研究中心(CyRC)的研究人员对 新思科技应用安全测试(AST)服务中测试的商业软件系统和应用的匿名数据进行了研究。今年的报告包括2021年对2,711个目标(即软件或系统)进行的4,398次测试所获得的数据。几乎所有的测试(95%)都是侵入性的黑盒测试和灰盒测试,包括渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)分析。黑盒测试是从外部视角考察目标的安全状态,灰盒测试则是模拟经过验证、拥有凭证的用户 本质上是通过更深入的洞察来扩展黑盒测试。新思科技AST服务测试的目标是像真实世界中的攻击者一样探测正在运行的应用,从而识别漏洞并进行必要的分类和修
3、复。被测目标主要是web(82%)和移动(13%)应用,其余5%为源代码或网络系统/应用测试。被测目标主要来自软件和互联网(32%)、金融服务(26%)、商业服务(18%)、制造(7%)、消费者服务(7%)以及医疗健康(6%)行业。其余4%的被测目标来自旅游和休闲、教育、能源、公用事业和其他垂直行业。新思科技AST(应用安全测试)服务的目标是像真实世界中的攻击者一样探测正在运行的应用,从而识别漏洞并进行必要的分类和修复。本次研究涉及的行业软件和互联网、系统集成和服务、计算机和电子金融服务、保险商业服务制造、运输和储存、批发和分销消费者服务、媒体和娱乐、零售、电子商务医疗健康、制药和生物科技其他
4、32%26%18%7%7%6%4%|2谁是本报告的读者如果您是软件安全计划负责人,那么,深入了解软件风险可以帮助您做好安全规划,实现安全工作的战略性改进。如果您正在从战术角度审视安全计划,则可以使用本报告中的信息来制作业务案例,以便在软件安全计划中扩展安全测试,例如,通过增强静态应用安全测试(SAST)和软件组成分析(SCA),或者通过对正在运行的应用进行DAST、渗透、模糊或MAST测试。Forrester报告 2022年应用安全状态 指出,web应用漏洞是第三大最常见的攻击(见图1)。面对如此严重的问题,企业显然需要像攻击者一样测试其正在运行的web应用,并在漏洞被外部心怀叵测之人利用之前
5、识别并消除它们。在参与BSIMM项目的企业中,88%的企业借助外部渗透测试服务来发现问题。“攻击是如何开展的?”软件漏洞利用 供应链/第三方破坏Web应用漏洞利用(SQLi,XSS,RFI)网络钓鱼社会工程使用薄弱或被盗的凭据 战略性网络妥协恶意垃圾邮件管理员工具滥用利用丢失/被盗的资产 35%33%32%31%30%29%27%26%26%24%图 1.Web应用漏洞利用攻击占攻击总数的30%|3谁是第三方应用安全测试的用户企业出于各种原因使用第三方应用安全测试服务,其中最主要的原因之一就是缺乏训练有素或经验丰富的安全专业人员。某些企业可能还希望验证自己的测试,并确保其内部安全控制机制运行正
6、常。某些企业可能需要增强软件安全测试能力,但不想增加专用工具和人员预算。还有一些企业可能为了满足强制性的监管或业务需求而进行第三方评估。例如,支付卡行业数据安全标准(PCI DSS)要求定期或在软件或系统发生重大变更之后进行渗透测试。2022年 BSIMM13趋势与洞察报告 指出,在参与软件安全构建成熟度模型(BSIMM)项目的企业中,有88%使用外部的渗透测试服务来发现问题。BSIMM项目旨在研究企业采用怎样的策略将安全性构建到软件开发中。这些测试可以发现内部测试可能遗漏的问题,并可能揭示企业安全工具集中的薄弱环节。例如,如果静态分析工具不能捕获在DAST或渗透测试期间出现的安全缺陷,那么,
7、企业的整体安全测试结果很可能存在问题。如想进一步了解BSIMM项目,可阅读 BSIMM13基础 报告,它提供了关于BSIMM背景和数据的深入详细的信息。如想了解最新的BSIMM调查结果摘要,请阅读 BSIMM13趋势与洞察 报告。本报告提及的测试类型在2021年通过新思科技AST服务开展的测试中,渗透测试占到测试总数的64%其目的在于通过模拟攻击来评估应用或系统的安全性。渗透测试帮助企业在软件开发的最后阶段或部署之后发现并修复运行时的漏洞。渗透测试通常是安全标准提出的强制性合规要求。正如本报告前面所提到的那样,符合 支付卡行业数据安全标准(PCI DSS)要求定期进行渗透测试。渗透测试还将必要
8、的人为因素引入到安全方程式中。一些漏洞无法被自动化测试工具轻易检测到它们需要人工监督才能被发现。例如,检测不安全的直接对象引用(IDOR)的唯一有效方法是执行手动测试,IDOR是允许攻击者访问未授权数据的缺陷。第三方可以为测试结果提供专业知识、度量、信任和补救指导。从长远来看,他们还可以降低您的整体风险状况,同时为您节省时间和金钱。第三方测试对于帮助您实现以下目标是非常有用的:第三方应用安全测试的好处扩大安全覆盖范围满足合规要求提高您在客户心中的安全声誉改进软件安全威胁响应机制 |4动态应用安全测试(DAST)和移动应用安全测试(MAST)分别占到测试总数的18%和12%。MAST用于发现身份
9、认证和授权问题、客户端信任问题、安全控制的错误配置、跨平台开发框架问题、以及运行在移动设备上的应用二进制文件和相应服务器端系统中的漏洞。DAST的主要目标是测试正在运行的web应用中是否存在SQL注入和跨站脚本攻击等漏洞。web应用中被利用的漏洞有时并不存在于源代码中;这些漏洞只在部署到生产环境之后才会出现。这使得DAST成为所有应用安全测试计划的重要组成部分。如前所述,开发完整的软件安全蓝图有时需要人工监督。新思科技DAST评估服务包括手动测试,旨在发现开箱即用工具通常无法发现的漏洞,例如与身份验证和会话管理、访问控制和信息泄漏相关的一些漏洞。静态应用安全测试(SAST)和软件组成分析(SC
10、A)的用途经常与DAST和渗透测试相混淆。SAST和SCA测试应用代码,用于发现与DAST和渗透测试不同的漏洞集。企业应在软件开发过程中的各个阶段利用多种测试技术,以实现全面的安全覆盖。新思科技AST服务测试中发现的安全问题2021年,在新思科技AST服务开展的4,398次测试中,95%的测试在被测目标应用中发现了某种形式的漏洞,其中25%是高风险漏洞或严重风险漏洞。随着越来越多的攻击者使用自动漏洞利用工具,他们可以在几秒钟内攻击数千个系统,因此,即时修复高风险和严重风险漏洞就变得非常紧迫。例如,允许进行跨站脚本攻击(XSS)的漏洞可以为攻击者提供访问应用资源和数据所需的入口。新思科技AST服
11、务发现,在2021年的所有被测目标中,有22%检测到了反射型、存储型或DOM型跨站脚本攻击(见图2)。严重风险漏洞可致使攻击者在Web应用或应用服务器上执行代码并访问敏感数据。常见的严重风险漏洞包括远程代码执行和SQL注入 通过在客户端到应用的输入数据中插入SQL查询。虽然没有在图2中显示,但在所有被测目标中有4%容易受到某种类型的SQL注入攻击。在2021年通过新思科技AST服务开展的4,398次测试中,95%的测试在被测目标应用中发现了某种形式的漏洞。|5测试类型(不含回归测试)64%18%12%6%渗透测试移动测试动态分析其他*静态分析、网络渗透测试2,711被测目标数量4,398测试次
12、数新思科技应用安全测试服务数据统计4,194发现漏洞的测试数量(95%)30,731发现的漏洞总数发现严重或高危漏洞的测试数量(25%)发现最多的高风险漏洞1,420 反射型、存储型、或DOM型跨站脚本攻击(22%)发现最多的严重风险漏洞SQL注入/盲SQL注入(4%)发现最多的漏洞弱SSL/TLS配置(82%)对修复情况进行验证的回归测试:占到测试总数的34%对先前测试过的应用进行新的评估:占到测试总数的26%|6图 2.2021年所有测试中发现的十类主要漏洞基于OWASP Top 10的漏洞分类开放式Web应用程序安全项目(即OWASP)Top 10是大量开发人员和Web应用安全团队共同确
13、定的具有最重大安全风险的Web应用漏洞。2021年底,Top 10 列表进行了更新,添加了三个新类别,并对原有类别进行了合并,有些更改了名称和范围。虽然OWASP只想将该列表用作参考文件,但许多企业都将其用作了事实上的应用安全标准。在新思科技AST服务测试发现的30,731个漏洞中,78%属于OWASP Top 10。在新思科技AST服务测试发现的30,731个漏洞中,78%属于OWASP Top 10。漏洞发现该漏洞的测试目标占测试目标总数的百分比弱SSL/TLS配置82%内容安全策略头缺失46%过细的服务器Banner45%未实施HTTP严格传输安全(HSTS)标准40%可缓存的HTTPS
14、内容34%不安全的内容安全策略头28%弱密码策略26%会话超时时间过长25%点击劫持22%反射型、存储型或DOM型跨站脚本攻击22%|7图3列出了新思科技发现的10类最常见漏洞与OWASP Top 10和OWASP Mobile Top 10(2类)的匹配情况。漏洞描述OWASP Top 10列表中的类别该漏洞与测试所发现的全部漏洞的百分比信息披露:信息泄露A01:2021访问控制失效18%服务器配置错误A05:2021安全配置错误18%传输层保护不足M3:传输层保护不足11%授权:授权不足M6:不安全授权7%应用隐私测试A07:2021身份识别和认证失败5%客户端攻击:内容欺骗A03:202
15、1注入4%指纹验证A07:2021身份识别和认证失败4%身份认证:身份认证不足A07:2021身份识别和认证失败4%应用配置错误A05:2021安全配置错误4%授权:会话老化不完善A07:2021身份识别和认证失败3%总占比78%图3列出了新思科技发现的10类最常见漏洞与OWASP Top 10和OWASP Mobile Top 10(2类)的匹配情况。图3:这些漏洞与2021年OWASP Top 10和OWASP Mobile Top 10的匹配情况 |8一般来说,只有手动测试才能发现大多数的IDOR问题。A07:2021身份识别和认证失败“A07:2021-身份识别和认证失败”(原名“失败
16、的身份认证”)现在包括与身份识别失败相关的漏洞。在测试发现的所有漏洞中,有16%属于这个OWASP类别,包括测试中识别出的“指纹识别”漏洞。指纹识别是用于验证用户身份的一种安全措施。但是,如果Web服务器未被正确配置和监控,指纹识别也可以向攻击者提供有价值的信息,如OS类型、OS版本、SNMP信息、域名、网段和VPN接入点等。当应用程序允许重新使用旧的会话凭据或会话ID进行授权时,将出现会话老化不充分的情况,这是OWASP Mobile Top 10中的另一个类别。A03:2021注入(客户端攻击:内容欺骗)“A03:2021注入”类别中包括“跨站脚本攻击”和“SQL注入”等众所周知的漏洞。“
17、内容欺骗”是与跨站脚本攻击密切相关的攻击,其目的是出于恶意修改网页。在测试中发现的所有漏洞中,有4%属于该类别。A05:2021安全配置错误(应用配置错误)与服务器错误配置一样,应用配置错误也归类为“A05:2021-安全配置错误”。4%的漏洞与应用配置错误有关。M3:传输层保护不足许多移动应用都存在传输层安全性不足的特定问题,以至于OWASP在OWASP Mobile Top 10中专门针对这一问题设立了一个类别。正如OWASP指出的那样,“移动应用通常不能保护网络流量。它们可能只在身份验证期间使用SSL/TLS,在其他时间并不使用。这种不一致性会带来数据和会话ID被拦截的风险。”在本次测试
18、所发现的所有漏洞中,有11%与传输层保护不足有关。M6:不安全授权7%的被测目标中包含不安全授权漏洞,这是OWASP Mobile Top 10中的另一个类别。身份验证旨在识别个体的身份,而授权则旨在检查个体是否只拥有所需的权限。例如,作为请求的一部分,移动应用将用户的角色或权限传输到后端系统就是不安全授权。OWASP指出,IDOR漏洞的存在通常表示代码未执行有效的授权检查。这是需要辅以手动测试才能实现全面安全覆盖的另一种情况。OWASP类别详解A01:2021访问控制失效在所有的漏洞中,有18%可归为2021 OWASP Top 10中的“A01:2021-访问控制失效”。OWASP团队注意
19、到,在被测应用中,属于这一类别的漏洞比任何其他类别都要多。该类别中最显著的漏洞包括“将敏感信息暴露给未经授权的行为者”、“通过发送的数据暴露敏感信息”和“跨站请求伪造”。“访问控制失效”类别中包含的许多漏洞都更加趋向于业务逻辑问题而非实际类型的漏洞,因此无法被自动测试工具轻松检测到。例如,IDOR问题 允许攻击者操纵引用以访问未经授权数据的问题 就属于“访问控制失效”类别。如本报告前面所述,检测IDOR问题的唯一有效方法是开展手动测试。A05:2021安全配置错误(服务器配置错误)服务器配置错误,归类为OWASP的“A05:2021安全配置错误”,占到测试中发现的漏洞总数的18%。安全配置错误
20、可能发生在应用堆栈的任何级别,包括网络服务、平台、web服务器、应用服务器、数据库、框架、自定义代码和预安装的虚拟机、容器或存储。此类漏洞经常会允许攻击者未经授权访问某些系统数据或功能,有时甚至会导致整个系统被破坏。|9使用全系列的安全工具进行测试漏洞发现该漏洞的渗透测试占渗透测试总数的百分比漏洞发现该漏洞的DAST扫描占DAST扫描总数的百分比弱SSL/TLS配置77%弱SSL/TLS配置81%内容安全策略头缺失46%内容安全策略头缺失56%过细的服务器Banner42%过细的服务器Banner49%未实施HTTP严格传输安全(HSTS)标准36%未实施HTTP严格传输安全(HSTS)标准4
21、8%可缓存的HTTPS内容32%可缓存的HTTPS内容40%不安全的内容安全策略头30%会话超时时间过长38%弱密码策略25%点击劫持30%反射型、存储型或DOM型跨站脚本攻击22%不安全的内容安全策略头28%会话超时时间过长21%弱密码策略27%使用易受攻击的第三方库21%反射型、存储型或DOM型跨站脚本攻击22%点击劫持21%退出后会话未失效22%过细的错误消息(含堆栈踪迹)19%未屏蔽的非公开信息数据22%过细的错误消息18%密码重置用户名枚举21%未屏蔽的非公开信息数据16%连续身份验证尝试的限制不当19%退出后会话未失效16%X.509证书即将过期(SSL/TLS)19%图4清楚地表
22、明,应用程序通常无法履行保护敏感网络流量完整性的职责。“弱SSL/TLS配置”是整个测试中发现的最严重的漏洞,82%的被测目标中包含某种形式的该漏洞。按测试类型细分,渗透测试在77%的被测目标中发现了弱SSL/TLS配置,这一比例在DAST扫描和MAST扫描中分别为81%和32%。渗透测试和DAST 扫描均发现,22%的被测目标遭受了一定程度的跨站脚本攻击,这是影响Web应用的最普遍和最具破坏性的高风险/严重风险漏洞之一。虽然SAST扫描可以检测到很多常见漏洞,但仅限于发现代码本身出现的漏洞。大多数XSS漏洞仅在应用运行时才会出现。图 4.渗透测试和DAST扫描中发现的15类主要漏洞(不含回归
23、测试)|10WhiteHat Dynamic2022年6月,新思科技收购了应用安全领域的领军者以及动态应用安全测试解决方案这一细分市场的领先提供商WhiteHat Security。WhiteHat Dynamic扩展了新思科技的应用安全测试服务组合,提供基于订阅的静态分析、动态分析和移动测试服务。2021年间,新思科技使用WhiteHat对超过1.6万个应用进行了超过500万次扫描,在客户的web应用中发现了25万个缺陷和漏洞。有趣的是,若以OWASP Top 10为标准,则WhiteHat的测试结果与新思科技AST服务的测试结果高度一致。漏洞描述该漏洞占新思科技AST服务测试所发现的全部漏
24、洞的百分比信息披露:信息泄露18%服务器配置错误18%传输层保护不足11%授权:授权不足7%应用隐私测试5%客户端攻击:内容欺骗4%指纹验证4%身份认证:身份认证不足4%应用配置错误4%授权:会话老化不完善3%图 6.这些漏洞占新思科技AST服务测试所发现的全部漏洞的百分比图5.2021年WhiteHat扫描中发现的10类主要软件缺陷/漏洞 WhiteHat扫描中发现的10类主要漏洞1.信息泄露2.Frame嵌套资源(点击劫持)3.传输层保护不足4.指纹验证5.应用配置错误6.授权不足7.跨站脚本攻击8.服务器配置错误9.输入处理不当10.目录索引(访问控制中断)|11漏洞发现该漏洞的MAST
25、扫描占MAST扫描总数的百分比弱SSL/TLS配置32%缺少二进制混淆(iOS)31%登录后将凭证保存在内存中30%应用允许复制敏感数据(iOS)26%应用允许复制敏感数据22%未屏蔽的非公开数据22%应用截图信息披露21%缺少证书锁定机制(iOS)20%缺少二进制混淆19%应用程序传输安全机制的不安全配置(iOS)19%支持易受攻击的最低操作系统版本(iOS)18%未加密存储在本地存储器中的敏感数据(iOS)18%在没有安全访问控制机制的情况下使用iOS密钥链17%应用截图信息披露(iOS)16%应用截图信息披露(Android)16%图 7.MAST扫描发现的15类主要漏洞(不含回归测试)
26、即使低风险漏洞也可能被利用而达成攻击测试发现的许多漏洞被认为是较低风险、低风险或中风险漏洞。也就是说,攻击者无法直接利用这些漏洞来访问系统或敏感数据。尽管如此,找出这些漏洞并非无用之功,因为即使是较低风险的漏洞也可被用来促进攻击。例如,过细的服务器Banner 在49%的DAST扫描和42%的渗透测试中发现的漏洞 提供了服务器名称、类型和版本号等信息,可能有助于攻击者对特定技术栈发动有针对性的攻击。新思科技AST服务测试结果清楚地表明,安全测试的最佳方法是使用一系列工具来帮助确保应用或系统是安全的。|12实施内容安全策略(CSP)等保护措施可以提供额外的安全层,帮助检测和缓解某些类型的攻击,如
27、跨站脚本攻击和数据注入攻击。不安全或缺少CSP可能被视为低风险问题。然而,跨站脚本攻击、点击劫持和跨站泄漏等漏洞利用攻击的猖獗程度为企业部署CSP(更重要的是,安全的CSP)提供了强有力的依据,企业可将其作为有效的第二个保护层来抵御各类攻击(尤其是跨站脚本攻击)。脆弱的第三方库所带来的危险如图4所示,虽然作用于不同的应用,但渗透测试和DAST扫描发现了许多相同类型的漏洞。另一方面,这两类测试所揭示的漏洞在另一类测试中要么未被发现,要么发现频率远低于另一类测试。例如,“使用易受攻击的第三方库”这类漏洞在21%的渗透测试中被发现,但却没有出现在DAST扫描所发现的15类主要漏洞中。尽管本报告中没有
28、详细说明,但在新思科技应用测试服务2021年开展的静态分析测试中,27%的测试发现了相同类别的漏洞。“使用易受攻击的第三方库”的漏洞可归为OWASP Top 10中的“A06:2021-易受攻击和过时的组件”类别。OWASP指出,软件在以下情况下容易受到攻击:企业不知道其所使用的所有组件(客户端和服务器端)的版本,包括直接使用的组件以及依赖的组件。企业正在使用的代码已不被支持或已过期,包括OS、Web/应用服务器、数据库管理系统、应用、API和所有组件、运行时环境和库。面对备受瞩目的供应链攻击,软件供应链安全已经成为依赖第三方软件的企业的主要担忧。大多数软件供应链风险管理项目都专注于识别和保护
29、第三方软件 通常是打算集成到企业自主开发软件中的开源软件。新思科技与Enterprise Strategy Group(ESG)近期发布的一份报告指出,73%的受访企业已经开始通过各种措施来加强对软件供应链的保护能力。软件供应链安全已成为依赖第三方软件的企业的主要担忧。|13基于软件物料清单管理供应链风险为了更好地管理供应链风险,越来越多的企业开始使用自动化工具生成软件物料清单(SBOM),以充分识别他们使用的第三方软件,并提高他们对公开披露的漏洞的响应能力。据 BSIMM13基础 报告显示,“为软件创建物料清单”的BSIMM活动量增长了30%,证明SBOM已经成为一个发展趋势。BSIMM13
30、数据还表明,由于现代软件中开始普遍使用开源组件并且将最受欢迎的开源项目作为载体的攻击越来越多,导致“识别开源代码”和“控制开源代码风险”活动均增长了35%。由于许多公司都在使用数百个应用或软件系统,并且每个应用或软件系统本身都可能依赖数百到数千个不同的第三方和开源组件,因此,企业迫切需要借助准确的、最新的SBOM来有效跟踪这些组件。大规模管理风险需要全面的AppSec计划如果企业所销售的软件或包含嵌入式软件的产品出现了影响产品使用的软件安全、合规或质量问题,将给企业带来难以承受的影响。即使是不直接销售软件或软件驱动产品的企业,也会受到软件质量和安全问题的影响。大多数的工资单、账单、应收账款、销
31、售跟踪和客户记录的管理系统都是由软件驱动的。软件控制生产、管理库存、指挥仓储活动、并运行着确保正常业务运营的分销系统。软件也是大多数企业与客户交互的方式。如前面的Forrester报告 2022年应用安全状态 所述,web应用漏洞是排名第三的常见软件攻击类型。信用风险评估巨头Equifax就曾是此类漏洞利用攻击的受害者,当时,攻击者侵入了Equifax门户网站的底层软件框架,导致1.43亿美国公民的个人数据泄漏。很明显,企业不仅应该使用静态分析和软件组成分析工具来测试web应用中的常见缺陷、漏洞和错误配置,而且还应该以攻击者探测它们的方式来测试其正在运行的web应用。全方位的应用安全测试是当今
32、世界管理软件风险的重要手段之一。当企业缺乏执行高级黑盒或灰盒安全测试所需的人力资源或工具时,或者需要审查内部软件安全控制机制时,与新思科技应用安全测试服务这样的第三方合作是最佳选择。|14建议制定策略,部署全系列的安全测试工具。利用安全测试工具收集数据、合并数据,并使用这些数据制定和实施软件安全策略。混合开展自动和手动安全测试。选择正确的供应商 通过第三方AST服务支持内部测试,这些服务可能包括构建时的静态分析、人工代码审查、QA/集成测试中的动态扫描、以及生产前和生产后的渗透测试。全系列的测试工具可以帮助您修复缺陷,并识别软件中的已知漏洞,无论该软件是商用第三方软件、开源软件还是您自主开发的
33、软件。收集数据,以了解执行了哪些测试以及发现了哪些问题,从而推动安全状况在软件开发生命周期和治理过程中得到改进。应用安全测试方法没有绝对的好与坏。某些漏洞无法被自动测试工具轻松检测到,需要人工监督才能发现。您应根据具体情况、以最有效的方式开展安全测试,并通过自动测试来加强测试结果。选择能够为贵公司高级管理人员以及满足监管/合规要求而制作全面风险状况报告的供应商。CyRC关于CyRC研究新思科技网络安全研究中心(CyRC)的使命是发布安全研究报告,帮助企业更好地开发和使用安全的、高质量的软件。新思科技提供的集成解决方案,可以改变您构建和交付软件的方式,在应对业务风险的同时加速创新。与新思科技同行
34、,您的开发人员可以在编写代码的时候快速兼顾安全。您的开发和DevSecOps团队可以在不影响速度的情况下在开发管道中自动进行安全测试。您的安全团队可以主动管理风险并将补救工作聚焦在对贵组织最重要的事情上。我们无与伦比的专业知识可以帮助您规划和执行所需的安全计划。只有新思科技能够满足您构建可信软件的一切需求。如需了解更多信息,请访问: E Middlefield Road Mountain View,CA 94043 USA联系我们:中国销售热线:+86-国际销售热线:+1 415.321.5237电子邮件:sig-2022 Synopsys,Inc.版权所有,保留所有权利。新思科技是Synopsys,Inc.在美国和其他国家/地区的商标。新思科技商标列表可在 获得。本文提及的所有其他名称均为其各自所有者的商标或注册商标。2022年11月新思科技与众不同|