软件供应链漏洞情况分析

关键要点

• 95% 的组织在其软件供应链中至少存在一个高危、关键或灾难性漏洞。
• 平均每个组织有九个关键问题。
• 常见漏洞包括命令注入、日志文件中的敏感数据和跨站脚本。
• 约36%的应用程序易受到初始访问攻击，20%易受持久性或执行攻击。
• 安全团队面临大量警报，急需自动化工具减少警报数量。

OX Security进行的一项历时九个月的研究显示，95% 的组织在其软件供应链中都存在至少一个可以被归类为高危、关键或灾难性的数据漏洞，具体报告见。

这项分析涵盖了超过1亿条警报、数千个代码库和14万个应用程序，并采用了开放软件供应链攻击参考框架。研究发现，每个组织平均存在九个关键问题，其中常见的漏洞类型包括：

此外，每五个应用程序中就有一个存在运行时暴露问题。研究还发现，约36% 的应用程序承受初始访问攻击，20% 的应用程序可能遭遇持久性或执行攻击。最常见的技术包括：

• 后门 进入代码（31%）
• 过度特权 用户账户（29%）
• 命令注入 （27%）

OXSecurity强调，应用程序安全团队面临的警报数量非常庞大，每年平均会产生119,000条警报，这些警报分布在129个应用程序中。这突显了自动化工具的必要性，以便能够关联警报并将数量减少超过97%。