新思科技網路安全研究中心(CyRC)分析了2021年開展的數千項商務軟體安全測試的資料。幾乎所有的測試都是侵入性的“黑盒”和“灰盒”測試,包括:
該報告涵蓋了16個垂直行業,包括軟體和互聯網、金融服務、保險、商業服務、製造業、媒體和娛樂、零售和醫療保健等。
本次分析活動所執行的應用安全(AppSec)測試包括滲透測試、動態應用安全測試和移動應用安全測試,所有這些測試都是為了像真實駭客那樣探測正在運行的應用。
該報告清楚地解釋了為何說開展AppSec全方位測試對於管理軟體風險至關重要。雖然靜態應用安全測試(SAST)等“白盒”工具可以在軟體發展生命週期的早期揭示安全問題,但卻無法發現運行時的安全性漏洞。同樣,一些漏洞無法被自動化工具檢測到,需要手動監測才能發現。 在CyRC開展的大約4,400次測試中
測試報告英文版 測試報告中文版