今年的报告包括2021年 对2,711个目标(即软件或系统)进行的4,398次测试所获得的数据。几乎所有的测试(95%)都是侵入性的 黑盒测试和灰盒测试,包括渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)分析。
黑盒测试是从外部视角考察目标的安全状态,灰盒测试则是模拟经过验证、拥有凭证的用户 — 本质上 是通过更深入的洞察来扩展黑盒测试。新思科技AST服务测试的目标是像真实世界中的攻击者一样探 测正在运行的应用,从而识别漏洞并进行必要的分类和修复。
被测目标主要是web (82%)和移动(13%)应用,其余5%为源代码或网络系统/应用测试。被测目标主要来 自软件和互联网(32%)、金融服务(26%)、商业服务(18%)、制造(7%)、消费者服务(7%)以及医疗健康(6%) 行业。其余4%的被测目标来自旅游和休闲、教育、能源、公用事业和其他垂直行业。