Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > 50% крупнейших корпораций используют уязвимые Open Source-компоненты

50% крупнейших корпораций используют уязвимые Open Source-компоненты

Пятница, 30 марта 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

По результатам исследования, совместно проведенного компаниями Sonatype и Aspect Security, более половины корпораций, входящих в Fortune 500, загружают и используют в своем программном обеспечении Open Source-компоненты, библиотеки и веб-фреймворки, содержащие уязвимости.

Отчёт был составлен на основе опроса 2 550 разработчиков, системных архитекторов и аналитиков. Исследователи утверждают, что более 80% программного обеспечения, разрабатываемого внутри корпораций, содержит в себе Open Source-компоненты, которые могут быть уязвимы для атак. Этот факт зачастую игнорируется сторонниками программного обеспечения с открытым кодом. Кроме того, по мнению исследователей, защитники Open Source часто «упускают из вида недостатки инфраструктуры», главным из которых является отсутствие систем уведомлений об уязвимостях и их исправлениях.

«80% кода в сегодняшних приложениях составляют библиотеки и фреймворки. Риск уязвимостей в этих компонентах широко игнорируется и недооценивается», - пишут Джефф Уильямс (Jeff Williams), генеральный директор, и Аршан Дабирсьяхи (Arshan Dabirsiaghi), главный аналитик Aspect Security.

Исследователи проанализировали ряд популярных в корпоративной среде фреймворков и компонентов (всего 31) и установили, что 37% из них содержат в себе уязвимости, входящие в базы данных Common Vulnerabilities and Exposures (CVE) и Open Source Vulnerability Database (OSVDB). При этом, число уязвимостей в самых популярных из них оказалось всего на 10% меньше, чем в тех, которые использются реже.

В качестве примеров уязвимых компонентов аналитики назвали Google Web Toolkit, Spring MVC, Struts 1.X. и Hibernate. По данным отчёта, на сегодняшний день эти продукты загружены более 46 миллионов раз, а Struts 2, содержащий критическую уязвимость, имеет более миллиона загрузок от 18 000 корпораций.

Кроме того, в отчете сообщается, что всего 32% организаций-респондентов имеют инструменты для отслеживания зависимостей своих приложений. Это «усложняет решение проблемы, когда обнаруживается новая узявимость», утверждают исследователи.

«Результаты данного исследования должны послужить сигналом для организаций, которые разрабатывают ПО, имеющее критическую функциональность для бизнеса», - подвела итог Aspect Security.

Исследование вызвало шквал критики со стороны Open Source-разработчиков. Так, Рене Джилен (Rene Gielen) из комитета по управлению Apache Struts выразил сомнение, что автоматическое оповещение об исправлениях решит проблему.

«Нам хотелось бы внести одно уточнение: в отличие от десктопных приложений, для того вида продуктов, которые производим мы, автоматические уведомления не подходят, - заявил разработчик Struts. - Куда именно серверное приложение, веб-фреймворк типа Struts или даже библиотека будут отправлять информацию такого рода? Как они смогут передавать оповещения, если большинство корпоративных пользователей, установив продукт, ограничивают ему доступ в интернет?»

Марк Томас (Mark Thomas) из комитета по управлению Apache Tomcat согласился, что опублкиованные в отчете Sonatype и Aspect Security цифры вполне ожидаемые и относятся к проприетарному ПО не в меньшей степени, чем к открытому. При этом, добавил он, риски от использования уязвимых компонентов не столь велики, как пытаются представить аналитики. Корпоративные пользователи, опасаясь затрат, как правило, редко обновляют ПО, предпочитая блокировать уязвимости при помощи настроек.

Эндрю Эйткен (Andrew Aitken), основатель компании Olliance Group, специализирующейся на Open Source-консультациях, возразил, что называть открытое ПО низкокачественным на такой основе некорректно.

«Любое ПО имеет уязвимости. Данное исследование не проводит сравнения между открытым и закрытым кодом. Оно просто заявляет, что для открытого ПО есть некий "х". Между тем, существует много исследований, которые установили, что качество кода СПО намного выше остального кода», - отметил он. В качестве примера Эйткен привел исследование компании Coverity 2010 г., установившее, что плотность ошибок в открытом коде почти в четыре раза ниже, чем по софтверной индустрии в целом.

Обе компании, проводившие исследование, ведут непосредственную разработку средств компьютерной безопасности. Aspect Security является основателем Open Web Application Security Project, открытой международной организации, в рамках которой создаются средства безопасности веб-приложений. Sonatype, в свою очередь, продвигает продукт для отслеживания уязвимостей в программных компонентах — Nexus Intelligent Repository Manager.

Между тем, руководители обеих компаний сами являются сторонниками открытого ПО. Джефф Уильямс и Уэйн Джексон (Wayne Jackson) — гендиректор Sonatype и бывший директор Sourcefire, Open Source-проекта по сетевой безопасности — поспешили отреагировать на критику, особенно отметив этот факт.

«Мы ни в коем случае не утверждаем, что Open Source-продукты низкокачественны, - возражают они. - В конце концов, Sonatype — компания, основанная Open Source-разработчиками и активный участник сообщества; мы поддерживаем такие проекты как Apache Maven, M2Eclipse, Nexus и Tyco, и твёрдо верим в превосходство открытого ПО».

Аналитики объясняют: они не ставили своей целью сравнение открытого и закрытого кода. Своим исследованием компании лишь хотят подчеркнуть, что есть некоторые риски, которые корпорации просто не могут игнорировать. Отсутствие автоматического оповещения об исправлениях — один из них.

Sonatype уже попыталась решить эту проблему в рамках проекта Apache Maven, запустив Central Repository — систему поиска и отслеживания обновления компонентов проекта. Именно наблюдение за активностью внутри Central Repository подтолкнуло к компанию к исследованию такого рода.

«Мы попытались определить, как программные компоненты ("кирпичики", из которых строится любое современное приложение) используются в организациях для создания ПО, - поясняют руководители исследования. - Это позволяет поднять вопрос о том, нужны ли более интеллектуальные средства отслеживания изменений в этих компонентах».

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 282
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

07: 00
ВТБ24 узнает по лицу и голосу |
07: 00
ФАС оценила ошибку МТС в четверть миллиона |
07: 00
E-Wolf: не строй суперкар, если не уверен |
07: 00
Легкий оригами-щит останавливает пули |
07: 00
В Китае дронов с огнеметами используют для утилизации мусора |
07: 00
Мультиварка пароварка и скороварка отличия |
07: 00
Обзор телефона NOMI i5030 Evo X |
07: 00
RNS: Экс-глава РИА Новости Светлана Миронюк покинет пост старшего вице-президента «Сбербанка» |
07: 00
python-lcms2 v0.1 |
18: 40
Go 1.8 |
18: 40
Samsung впервые официально подтвердила существование SoC Exynos 9. Выход ожидается в ближайшее время |
18: 40
Apple начнет собирать iPhone SE в Индии |
18: 20
Выпуск смартфонов Apple iPhone SE в Индии начнется в ближайшие месяцы |
18: 00
Наследник ZUK Edge получит изогнутый дисплей и двойную камеру |
16: 40
Распродажа гаджетов для мобильных геймеров |
16: 00
Цифра дня: Сколько видео с субтитрами загружено на YouTube? |
14: 00
Китайские производители хотят освоить технологию FD-SOI |
14: 00
Лазерный сканер распознавания лиц заменит в iPhone 8 сканер отпечатков пальцев |
13: 40
Европейские законодатели не стали вводить «налог на роботов» |
12: 40
«Твоя любовь сильнее смерти» Марии Садловской: возвращение чувств |
12: 20
Metacritic назвала лучших игровых издателей 2016-го года |
12: 20
Samsung обновит до Nougat модели Galaxy S6 и edge — в феврале, A — в мае, J — в июле |
12: 00
Компания Yahoo признала, что была и третья атака на учетные записи пользователей |
12: 00
Вице-президент компании Samsung Electronics Ли Джей арестован |
11: 40
Apple одиннадцатый год подряд назавали самой инновационной компанией |
11: 40
Resident Evil 7 уже окупился |
11: 40
Названа дата выхода Crash Bandicoot N. Sane Trilogy |
11: 00
Apple десятый раз подряд возглавила список самых уважаемых компаний |
11: 00
В приложении «ВКонтакте» появится функция вызова такси |
11: 00
На PS 4 будет бесплатный мультиплеер |
11: 00
Астрономы выяснили, куда ударит астероид |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Февраль 2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28