シノプシスは1月30日、Webおよびソフトウェア・アプリケーションによく見られる10の脆弱性に関する分析結果を発表した。シノプシス・サイバーセキュリティ・リサーチ・センター(CyRC)が分析したもので、それによると、調査対象のアプリケーションから脆弱性が検出された割合は、2020年の97%から2022年には83%へと大幅に減少していた。同社では、コード・レビュー、自動テスト、継続的インテグレーションの実施が、一般的なプログラミング・エラーの減少に寄与していると推測している。
テストは、ペネトレーション・テスト、動的アプリケーション・セキュリティ・テスト(DAST)、モバイル・アプリケーション・セキュリティ・テスト(MAST)、ネットワーク・セキュリティ・テストなど、複数のセキュリティ・テスト手法を駆使して、実際の攻撃者と同じように実行中のアプリケーションに対して実施したもの。
シノプシスでは、今回の結果は業界にとってポジティブな進展と言える一方で、このデータからは、静的アプリケーション・セキュリティ・テスト(SAST)のような単一のセキュリティ・テスト・ソリューションのみに依存することは、もはやアプローチとして十分ではないことも読み取れるとしている。
例えば、サーバーの設定ミスは、3年間のテストで発見された脆弱性全体の平均18%に相当する。コーディングの欠陥を特定するSAST、実行中のアプリケーションを検査するDAST、サードパーティのコンポーネントによって導入された脆弱性を特定するソフトウェア・コンポジション解析(SCA)、内部テストで見落とされている可能性のある問題を特定するペネトレーション・テストを組み合わせた多層的なセキュリティ・アプローチがなければこの種の脆弱性は検出されない可能性が高いとしている。
また、ハッカーの手口は巧妙化しており、ソフトウェア・リスクの所在を特定し、脆弱性の悪用からビジネスを守るためには、多層的なセキュリティ・アプローチがこれまで以上に必要としている。